Las tecnologías de la información y las comunicaciones constituyen un elemento fundamental para las Administraciones Públicas las cuáles han desarrollado una labor esencial fomentando su utilización en las relaciones con los ciudadanos. El empleo de las nuevas tecnologías implica la necesidad de adoptar medidas concretas que permitan garantizar la seguridad en el tratamiento de la información reduciendo los riesgos inherentes a dicho tratamiento al nivel máximo posible.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que los órganos de las administraciones responsables de los ficheros que contienen datos de carácter personal, y si procede, las personas físicas o jurídicas, las autoridades públicas o los órganos encargados de su tratamiento deben adoptar las medidas de carácter técnico y organizativo necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a qué están expuestos, tanto si provienen de la acción humana como del medio físico o natural.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de dicha Ley Orgánica comparte con ella la finalidad de hacer frente a los riesgos que para los derechos de la personalidad puede suponer el tratamiento de datos personales y establece las medidas de seguridad que se han de cumplir, sea cual sea la forma en que se traten (automatizada o no automatizada).

Por su parte la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos consagra el derecho de los ciudadanos a comunicarse electrónicamente con las Administraciones Públicas, lo que implica la necesidad de adoptar medidas que garanticen una adecuada protección de los sistemas, los datos, las comunicaciones y los servicios electrónicos. El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero, pretende dar respuesta a esta necesidad.

En dicho Real Decreto se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente. Uno de los elementos que deben precisarse en dicha política de seguridad es la estructura de un comité de seguridad.

Por todo lo expuesto en la presente Orden se crea el Comité de Seguridad de la Información del Gobierno de La Rioja como órgano colegiado de los previstos en la Ley 3/2003, de 3 de marzo, de organización del Sector Público de la Comunidad Autónoma de La Rioja.

En el ámbito de la Comunidad Autónoma de La Rioja son los Decretos de estructura de cada Consejería los que atribuyen a las Secretarías Generales Técnicas la coordinación de las actuaciones de los órganos y unidades y de los organismos públicos en materia de protección de datos. Por su parte es la Secretaría General Técnica de la Consejería de Administración Pública y Hacienda la encargada de coordinar las actuaciones en materia de protección de datos de carácter personal; correspondiéndole a la Dirección General de las Tecnologías de la Información y la Comunicación la dirección, diseño, desarrollo, implantación, mantenimiento y gestión de los programas y políticas de seguridad en materia de sistemas de información para todos los ámbitos del Sector Público.

Por todo ello, en virtud de las competencias que me han sido conferidas conforme al artículo 42.1.e. de la Ley 8/2003, de 28 de octubre, de Gobierno e Incompatibilidades de sus miembros y de acuerdo con lo dispuesto en el Decreto 46/2011, de 6 de julio, por el que se establece la estructura orgánica de la Consejería de Administración Pública y Hacienda y sus funciones en desarrollo de la Ley 3/2003, de 3 de marzo, de Organización del Sector Público de la Comunidad Autónoma de La Rioja y resto de la normativa vigente aplicable, dispongo:

Artículo 1.- Objeto.

La presente norma tiene por objeto la creación y regulación del Comité de Seguridad de la Información del Gobierno de La Rioja como órgano colegiado de los previstos en la Ley 3/2003, de 3 de marzo, de organización del Sector Público de la Comunidad Autónoma de La Rioja, adscrito a la Consejería competente en materia de tecnologías de la información, que le facilitará los medios precisos para el cumplimiento de sus funciones

Artículo 2.- Funciones.

1. Al Comité de Seguridad de la Información del Gobierno de La Rioja le corresponden funciones de asesoramiento, consultoría y propuesta en materia de seguridad de la información.

2. En particular le corresponde:

a) Informar regularmente del estado de la seguridad de la información al Gobierno de La Rioja.

b) Promover la mejora continua del sistema de gestión de la seguridad de la información.

c) Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información evitando duplicidades.

d) Elaborar y revisar regularmente la Política y Organización de la Seguridad de la Información para que sea aprobada por el Gobierno de La Rioja.

e) Proponer la aprobación de la normativa de seguridad de la información.

f) Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

g) Proponer planes de mejora de la seguridad de la información de la organización.

h) Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información que sea requerida tras el cese en la utilización del mismo.

i) Divulgar la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas.

Artículo 3.- Composición.

1. El Comité de Seguridad de la Información del Gobierno de La Rioja se compone de los siguientes miembros:

a) Presidente: El titular de la Dirección General competente en materia de tecnologías de la información y las comunicaciones.

b) Vocales: Un representante de cada una de las Consejerías y Organismos Públicos del Sector Público de la Comunidad Autónoma de La Rioja. Serán nombrados y cesados por los titulares de cada una de las Secretarías Generales Técnicas u órganos asimilables en los Organismos Públicos.

c) El Secretario será nombrado por el titular de la Dirección General competente en materia de tecnologías de la información y la comunicación entre personal de la misma Dirección General. En caso de vacante, ausencia o enfermedad, su suplente será designado del mismo modo por el mismo órgano.

2. A las sesiones del Comité podrán asistir en calidad de asesores, con voz pero sin voto, las personas que en cada caso proponga el Presidente.

Artículo 4.- Estructura y funcionamiento.

1. El Comité de Seguridad de la Información del Gobierno de La Rioja funcionará en Pleno que estará integrado por todos los miembros, asistidos por el Secretario.

2. El Comité se reunirá con carácter ordinario una vez al semestre y podrá reunirse con carácter extraordinario en alguno de los siguientes supuestos:

a) A instancia del Presidente.

b) Cuando aparezcan incidencias de seguridad graves o surjan nuevas necesidades de seguridad que requieran la participación de los componentes del Comité.

3. Para la válida constitución del Pleno del Comité a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos, se requerirá, en primera convocatoria la presencia del secretario o, en su caso, de quien le sustituya, y de la mitad más uno de sus miembros, debiendo estar entre ellos el Presidente.

4. El Pleno adoptará sus acuerdos por mayoría de los miembros presentes con derecho a voto.

Artículo 5.- Normativa aplicable.

En lo no previsto en la presente Orden, el Comité de Seguridad de la Información del Gobierno de La Rioja se regirá en su funcionamiento por lo dispuesto en el Capítulo IV del Título I de la Ley 3/2003, de 3 de marzo, de Organización del Sector Público.

Disposición Final Única.- Entrada en vigor.

La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de La Rioja.

Logroño, a 9 de enero de 2014

Mª Concepción Arruga Segura, Consejera 

Mediante el Real Decreto 1823/2011, de 21 de diciembre, por el que se reestructuran los departamentos ministeriales, se suprimieron los Ministerios de Economía y de Hacienda, y de Política Territorial y Administración Pública, y se creó el Ministerio de Hacienda y Administraciones Públicas, cuya estructura orgánica básica se estableció por Real Decreto 1887/2011, de 30 de diciembre.

La estructura orgánica básica del Ministerio de Hacienda y Administraciones Públicas se ha desarrollado por Real Decreto 256/2012, de 27 de enero, que a su vez ha sido recientemente modificado por Real Decreto 696/2013, de 20 de septiembre.

Estos cambios en la organización administrativa exigen una adecuación de la normativa reguladora de los ficheros de datos carácter personal, agrupando en una sola norma, por razones de seguridad jurídica, la totalidad de los ficheros de la responsabilidad del nuevo ministerio.

De acuerdo con lo anterior, en primer lugar, en la presente orden se lleva a cabo esta adecuación sustituyendo y refundiendo las disposiciones reguladoras de ficheros del antiguo Ministerio de Economía y Hacienda (en lo que se refiere a los órganos que han pasado al Ministerio de Hacienda y Administraciones Públicas) y del antiguo Ministerio de Política Territorial y Administración Pública que se encuentran actualmente vigentes.

De este modo, podrá accederse de forma sencilla a la información correspondiente a cada uno de los ficheros existentes en el ministerio, evitando la dispersión normativa.

Se regulan por sus propias disposiciones, y por tanto no se incluyen en la orden, los ficheros de datos de carácter personal de la Agencia Estatal de la Administración Tributaria, y de la Real Casa de la Moneda-Fábrica Nacional de Moneda y Timbre.

En la orden también se procede a la creación, modificación y supresión de ficheros de conformidad con lo previsto en el artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y artículos 52 a 54 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre (RLOPD).

En concreto, se crean ficheros de la responsabilidad de los siguientes órganos directivos: Dirección General del Catastro; Dirección General de Ordenación del Juego; Dirección General de Costes de Personal y Pensiones Públicas; Dirección General de Presupuestos; Dirección General de Fondos Comunitarios; Intervención General de la Administración del Estado; Subdirección General de Asuntos Generales y Coordinación; Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios; Dirección General de la Función Pública; Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica; Instituto Nacional de Administración Pública (INAP); Dirección General de Coordinación de la Administración Periférica del Estado; Delegaciones y Subdelegaciones de Gobierno; Dirección General de Coordinación de Competencias con las Comunidades Autónomas y Entidades Locales; Subdirección General de Recursos Humanos; Delegaciones de Economía y Hacienda, Dirección General del Patrimonio del Estado e Inspección General.

En cuanto a las modificaciones de ficheros, se ha llevado a cabo, en primer lugar, una adecuación de la descripción de los distintos ficheros a la nueva estructura orgánica en lo que se refiere a las menciones a órganos o departamentos ministeriales desaparecidos, al órgano responsable del fichero o a la unidad de ejercicio de derechos.

Asimismo, tal y como exige el artículo 54.1 c) del RLOPD, se ha indicado el sistema de tratamiento utilizado en la organización de los datos (automatizado, no automatizado o parcialmente automatizado) en aquellos ficheros en los que no aparecía esta información, y se ha introducido un mayor nivel de detalle en la descripción de los datos de carácter identificativo sometidos a tratamiento en determinados ficheros en los que se utilizaban sólo expresiones genéricas.

También se ha completado la descripción de algunos ficheros concretos en lo que se refiere a los usos del fichero, el colectivo o personas origen de la información o la dirección completa de las unidades y oficinas administrativas donde pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

Por lo que se refiere a ficheros que se suprimen, en su mayor parte se trata de ficheros cuyos datos han pasado a formar parte de otros ficheros nuevos o existentes o cuya supresión se entiende necesaria para evitar duplicidades.

La presente orden ha sido sometida al previo informe de la Agencia Española de Protección de Datos y se dicta al amparo del artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su virtud, dispongo:

Artículo 1.- Objeto.

La presente orden tiene por objeto la creación, modificación y supresión de ficheros de datos de carácter personal existentes en el Ministerio de Hacienda y Administraciones Públicas y en determinados organismos públicos adscritos al mismo.

Artículo 2.- Ámbito de aplicación.

1. La presente orden es de aplicación a los ficheros de datos de carácter personal existentes en el Ministerio de Hacienda y Administraciones Publicas y en los siguientes organismos públicos: Instituto de Estudios Fiscales (IEF), la Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL), Mutualidad General de Funcionarios Civiles del Estado (MUFACE), Instituto Nacional de Administración Pública (INAP), Comisionado para el Mercado de Tabacos (CMT) y Parque Móvil del Estado (PME).

2. Los ficheros de datos de carácter personal existentes en el Ministerio de Hacienda y Administraciones Públicas y en los organismos públicos a los que se refiere el apartado primero de este artículo son los que se relacionan en el anexo I de la presente orden.

Artículo 3.- Creación y modificación de ficheros.

1. Se crean los siguientes ficheros de datos de carácter personal, que se incorporan al anexo I de la presente orden:

a) Fichero Base de Datos del Catastro-SIGECA. Responsable: Dirección General del Catastro.

b) Fichero del Registro General de Interdicciones de Acceso al Juego. Responsable: Dirección General de Ordenación del Juego.

c) Fichero del Registro General de Licencias de Juego. Responsable: Dirección General de Ordenación del Juego.

d) Fichero del Registro de Personas Vinculadas a Operadores de Juego. Responsable: Dirección General de Ordenación del Juego.

e) Fichero de clientes de operadores. Responsable: Dirección General de Ordenación del Juego.

f) Fichero de datos de monitorización. Responsable: Dirección General de Ordenación del Juego.

g) Fichero de datos de inspección. Responsable: Dirección General de Ordenación del Juego.

h) Fichero de procedimientos sancionadores. Responsable: Dirección General de Ordenación del Juego.

i) Fichero de autorizaciones de juego presencial competencia del Estado. Responsable: Dirección General de Ordenación del Juego.

j) Fichero de autorizaciones de juego ocasional. Responsable: Dirección General de Ordenación del Juego.

k) Fichero de entidades de certificación. Responsable: Dirección General de Ordenación del Juego.

l) Fichero de denuncias. Responsable: Dirección General de Ordenación del Juego.

m) Fichero de registro de usuarios en sede electrónica. Responsable: Dirección General de Ordenación del Juego.

n) Fichero de reclamaciones. Responsable: Dirección General de Ordenación del Juego.

o) Fichero de sugerencias. Responsable. Dirección General de Ordenación del Juego.

p) SOROLLA2 DGCPYPP. Responsable: Dirección General de Costes de Personal y Pensiones Públicas.

q) RAYONET DGCPYPP. Responsable: Dirección General de Costes de Personal y Pensiones Públicas.

r) SOROLLA2 DGP. Responsable: Dirección General de Presupuestos.

s) ERYCA DGFC. Responsable: Dirección General de Fondos Comunitarios.

t) Gestión del aparcamiento de la IGAE. Responsable: Intervención General de la Administración del Estado.

u) Gestión de perfiles de usuario. Responsable: Subdirección General de Asuntos Generales y Coordinación.

v) Usuarios del portal de entidades locales. Responsable: Subdirección General de Asuntos Generales y Coordinación.

w) Fichero automatizado de registro entrada salida. Responsable: Subdirección General de Asuntos Generales y Coordinación.

x) Fichero para la gestión del plan de pensiones. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

y) Fichero automatizado de nóminas NEDAES. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

z) Fichero de gestión de personal (BADARAL). Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

aa) Fichero de ayudas de acción social. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

bb) Fichero de terceros (SOROLLA). Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

cc) Fichero de sujetos pasivos del Sistema de Información Contable (SIC´3). Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

dd) Ficheros de usuarios del a Intranet y el Gestor Documental. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

ee) Fichero de gestión de personal a través de la Intranet y el Gestor Documental. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

ff) Directorio-Agenda del correo electrónico de la AEVAL. Mozilla-Thunderbird. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

gg) Directorio DNS de los usuarios de la red de área local de la AEVAL. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

hh) Fichero distribución publicaciones. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

ii) Fichero de formación del Curso de Experto UNED (profesores, alumnos, exalumnos y solicitantes del curso). Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

jj) Fichero de distribución de información. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

kk) Fichero de becarios. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

ll) Fichero Banco de Evaluadores. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

mm) Fichero Directorio miembros Red Interadministrativa Calidad Servicios Públicos, foro de cooperación en el ámbito de la calidad y la evaluación. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

nn) Fichero Directorio miembros comités y grupos de trabajo de la Red Interadministrativa Calidad Servicios Públicos. Responsable: Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (AEVAL).

oo) Fichero del Archivo de la Dirección General de la Función Pública. Responsable: Dirección General de la Función Pública.

pp) Fichero de gestión de procedimientos de personal. Responsable: Dirección General de la Función Pública.

qq) 060. Responsable: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica.

rr) Datos de empleados-Portal Funciona. Responsable: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica.

ss) Portal de Administración Electrónica-Comisión Permanente del Consejo Superior de Administración Electrónica. Responsable: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica.

tt) Registro de quejas. Responsable: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica.

uu) Registro de funcionarios habilitados. Responsable: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica.

vv) Fichero de acción social del personal funcionario y laboral del INAP. Responsable: Instituto Nacional de Administración Pública (INAP).

ww) Portal SGGP. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

xx) Acción Social. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

yy) Nómina. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

zz) Formación. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

aaa) Badaral. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

bbb) Concursos. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

ccc) Asuntos normativos. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

ddd) Sorolla 2. Responsable: Dirección General de Coordinación de la Administración Periférica del Estado.

eee) Fichero ayudas al transporte de mercancías. Responsables: Delegación de Gobierno en Canarias y Delegación de Gobierno en Illes Balears.

fff) Fichero vigilantes jurados. Responsables: Delegaciones y subdelegaciones del Gobierno.

ggg) Fichero automatizado Junta Arbitral del Transporte del País Vasco. Responsable: Delegación del Gobierno en el País Vasco.

hhh) Fichero automatizado de salarios de tramitación. Responsables: Delegaciones y subdelegaciones del Gobierno.

iii) Fichero automatizado de quejas y sugerencias. Responsables: Delegaciones y subdelegaciones del Gobierno.

jjj) Participantes en premios convocados por la Delegación. Responsable: Delegación del Gobierno en Aragón.

kkk) Fichero planes de empleo y unidades de promoción y desarrollo. Responsable: Delegación de Gobierno en Ceuta y Melilla.

lll) Fichero violencia de género. Responsables: Delegaciones y subdelegaciones del gobierno.

mmm) Fichero Registro territorial de Asociaciones. Responsables: Delegación del Gobierno en Ceuta y Delegación del Gobierno en Melilla.

nnn) Fichero automatizado cita previa. Responsable: Delegaciones y Subdelegaciones del Gobierno.

ooo) Fichero automatizado ACCEDA. Responsable: Delegaciones y subdelegaciones del Gobierno.

ppp) Fichero de datos de los representantes estatales y autonómicos en los Comités de la Comisión Europea. Responsable: Dirección General de Coordinación de Competencias con las Comunidades Autónomas y Entidades Locales.

qqq) Fichero de datos de los responsables en los Comités de la Comisión Europea. Responsable: Dirección General de Coordinación de Competencias con las Comunidades Autónomas y Entidades Locales.

rrr) Representantes laborales. Responsable: Subdirección General de Recursos Humanos.

sss) Videovigilancia de las sedes de la Delegación en Zaragoza. Responsable: Delegación de Economía y Hacienda en Zaragoza.

ttt) Control horario de las sedes de la Delegación en Alicante. Responsable: Delegación de Economía y Hacienda en Alicante.

uuu) Usuarios de PLACE. Responsable: Dirección General del Patrimonio del Estado.

vvv) Fichero de alta de terceros CIBI. Responsable: Dirección General del Patrimonio del Estado.

www) Fichero de usuarios SIGIE. Responsable: Dirección General del Patrimonio del Estado.

xxx) Fichero de seguimiento de denuncias de acoso laboral. Responsable: Inspección General.

2. Los ficheros de datos de carácter personal de la responsabilidad de órganos administrativos adscritos a los antiguos Ministerios de Economía y Hacienda y de Política Territorial y Administración Pública, que han pasado a integrarse en el Ministerio de Hacienda y Administración Pública, así como de los organismos públicos a los que se refiere el artículo 2.1, existentes a la entrada en vigor de la presente orden, quedan modificados en los términos establecidos en el anexo I de la presente orden.

Artículo 4.- Supresión de ficheros.

1. Quedan suprimidos los ficheros de datos de carácter personal que se relacionan en el anexo II de la presente orden.

2. El destino que vaya a darse a los datos o, en su caso, las previsiones que se adopten para su destrucción, de conformidad con lo dispuesto en el artículo 54.3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre (RLOPD), será el que se establece para cada uno de ellos en el anexo II de la presente orden.

Artículo 5.- Responsables de gestión y organización.

Los titulares de los órganos responsables de cada fichero de datos de carácter personal adoptarán las medidas de gestión y organización que sean necesarias para asegurar la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en sus normas de desarrollo.

Artículo 6.- Derechos de acceso, rectificación y cancelación.

Los afectados por los datos de un fichero pueden ejercitar su derecho de acceso, rectificación y cancelación, cuanto proceda en virtud de la LOPD y sus normas de desarrollo o en la normativa específica que regule el fichero de que se trate, ante el órgano responsable del fichero a través de la unidad de ejercicio de derechos que se concreta en el anexo I.

Artículo 7.- Regulación.

Los ficheros que se recogen en el anexo I se regirán por las disposiciones generales e instrucciones que se detallen para cada uno de ellos y estarán sometidos, en todo caso, a las normas legales y reglamentarias de superior rango que les sean aplicables.

Artículo 8.- Notificación.

En cumplimiento del artículo 55 del RLOPD los ficheros serán notificados a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de datos en el plazo de treinta días desde la publicación de esta orden en el “Boletín Oficial del Estado”.

Disposición adicional única.- No incremento del gasto público.

La aplicación de esta orden, en particular en lo que se refiere a la creación de nuevos ficheros de datos de carácter personal, se atenderá con los medios personales y materiales existentes en el Ministerio de Hacienda y Administraciones Públicas, y en ningún caso podrá generar incremento de gasto público.

Disposición derogatoria única.- Derogación normativa.

1. Quedan derogadas las siguientes órdenes en lo que se refiere a ficheros de datos de carácter personal de la responsabilidad de órganos administrativos pertenecientes al antiguo Ministerio de Economía y Hacienda que han pasado a integrarse en el Ministerio de Hacienda y Administraciones Públicas así como de los organismos Instituto de Estudios Fiscales, Comisionado del Mercado de Tabacos y Parque Móvil del Estado:

a) Orden EHA/2242/2010, de 29 de julio, por la que se regulan los ficheros de carácter personal existentes en el Ministerio de Economía y Hacienda y en determinados organismos públicos adscritos al mismo.

b) Orden EHA/1291/2011, de 9 de mayo, por la que se modifica la Orden EHA/2242/2010, de 29 de julio, por la que se regulan los ficheros de carácter personal existentes en el Ministerio de Economía y Hacienda y en determinados organismos públicos adscritos al mismo.

c) Orden EHA/2979/2011, de 20 de octubre, por la que se modifica la Orden EHA/2242/2010, de 29 de julio, por la que se regulan los ficheros de carácter personal existentes en el Ministerio de Economía y Hacienda y en determinados organismos públicos adscritos al mismo.

2. Quedan derogadas las siguientes disposiciones en lo que se refiere a ficheros de datos de carácter personal de la responsabilidad de órganos administrativos y organismos del antiguo Ministerio de Política Territorial y Administración Pública que han pasado a integrarse en el Ministerio de Hacienda y Administraciones Públicas:

a) Orden APU/2074/2004, de 10 de junio, reguladora de los ficheros de datos de carácter personal del Ministerio de Administraciones Públicas y de sus organismos públicos.

b) Orden APU/3359/2004, de 7 de octubre, por la que se modifica la Orden APU/2074/2004, de 10 de junio, reguladora de los ficheros de datos de carácter personal del Ministerio de Administraciones Públicas y de sus organismos públicos.

c) Orden APU/702/2005, de 9 de marzo, por la que se modifica la Orden APU/2074/2004, de 10 de junio, reguladora de los ficheros de datos de carácter personal del Ministerio de Administraciones Públicas y de sus organismos públicos.

d) Orden APU/4083/2007, de 28 de diciembre, por la que se crean ficheros de datos de carácter personal del Ministerio de Administraciones Públicas.

e) Orden APU/793/2008, de 5 de marzo, por la se modifica la Orden APU/2074/2004, de 10 de junio, reguladora de los ficheros de datos de carácter personal del Ministerio de Administraciones Públicas y de sus organismos públicos.

f) Artículo 8 y anexo II de la Orden PRE/3523/2009, de 29 de diciembre, por la que se regula el Registro Electrónico Común.

g) Orden PRE/108/2010, de 25 de enero, por la que se crean, modifican y suprimen ficheros automatizados de datos de carácter personal, gestionados por el Ministerio de la Presidencia.

h) Orden PRE/767/2010, de 17 de marzo, por la que se crean ficheros automatizados de datos de carácter personal y se modifican otros gestionados por el Ministerio de la Presidencia.

i) Orden TER/2232/2010, de 29 de julio, por la que se regulan los ficheros de datos de carácter personal del Ministerio de Política Territorial.

j) Artículo 6 y Anexo II de la Orden TAP/1955/2011, de 5 de julio, por la que se crea y regula el registro electrónico del Ministerio de Política Territorial y Administración Pública y por la que se modifica Orden PRE/3523/2009, de 29 de diciembre, por la que se regula el registro electrónico común.

k) Resolución de 2 de febrero de 2010, del Instituto Nacional de Administración Pública, por la que se crean, modifican y suprimen ficheros de datos de carácter personal.

l) Resolución de 10 de mayo de 2010, del Instituto Nacional de Administración Pública, por la que se modifica la de 2 de febrero de 2010, por la que se crean, modifican y suprimen ficheros de datos de carácter personal.

m) Resolución de 1 de septiembre de 2010, del Instituto Nacional de Administración Pública, por la que se crea un fichero de datos de carácter personal

n) Resolución de 14 de julio de 2011, del Instituto Nacional de Administración Pública, por la que se crean y suprimen ficheros de datos de carácter personal

o) Resolución de 15 de abril de 2009, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crean ficheros de datos de carácter personal.

p) Resolución de 5 de abril de 2010, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crea el fichero de datos de carácter personal “Historia de Salud Digital”.

q) Artículo 6.2 y Anexo I de la Resolución de 27 de mayo de 2011, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crea y regula el Registro Electrónico de MUFACE.

r) Resolución de 5 de agosto de 2011, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crea el fichero de datos de carácter personal “Usuarios de cotizaciones”.

s) Resolución de 17 de noviembre de 2011, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crea un fichero de datos de carácter personal.

3. Quedan derogadas las siguientes disposiciones del Ministerio de Hacienda y Administraciones Públicas:

a) Artículo 13 y Anexo IV de la Orden HAP/1637/2012, de 5 de julio, por la que se regula el Registro electrónico de apoderamientos.

b) Artículo 10 y Anexo III de la Orden HAP/566/2013, de 8 de abril, por la que se regula el Registro Electrónico Común.

c) Orden HAP/689/2013, de 19 de abril, por la que se regula el fichero de datos de carácter personal de cooperación con las Administraciones Territoriales.

d) Resolución de 4 de julio de 2013, de la Mutualidad General de Funcionarios Civiles del Estado, por la que se crea un fichero de datos de carácter personal.

Disposición final única.- Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.

Madrid, 20 de diciembre de 2013.

El Ministro de Hacienda y Administraciones Públicas, Cristóbal Montoro Romero.

Ordenanza nº 3.682 de Chascomús, 25 de Junio de 2007.-

VISTO:

Los Artículos 12, inciso 4°, 20 inciso 3°, 28°, 38° y 59° de la Constitución Provincial, que reconocen el derecho al acceso a la información pública; y

CONSIDERANDO:

Que la información pública nos permite monitorear y controlar la gestión pública;

Que es necesario para la formación de la opinión y la construcción de un debate informado;

Que posibilita la participación ciudadana en los asuntos públicos;

Que fomenta la transparencia en la gestión del estado mejorando la calidad de sus instituciones;

Que la ciudadanía tiene derecho a acceder a la información que manejan distintas dependencias del Estado municipal;

Que el Estado municipal debe promover, aplicar y difundir las normas que garanticen el acceso de los vecinos a la información pública;

Que el acceso a la información pública tiene como finalidad promover una efectiva participación ciudadana a través de provisión de información completa, adecuada oportuna y veraz;

Que el acceso a la Información Pública constituye una instancia de participación ciudadana por la cual toda persona ejercita en forma práctica el derecho a peticionar a sus autoridades;

Que el acceso a la información pública en nuestro Municipio debe ser reglamentado a fin de establecer los requisitos para acceder a ella;

Por ello, el Honorable Concejo Deliberante de Chascomús sanciona la siguiente

ORDENANZA

Artículo 1º: El objeto de la presente es crear y establecer el marco general que permitirá a cualquier persona el acceso a la información pública, generada por la Municipalidad de Chascomús y sus Delegaciones, Entes y Organismos descentralizados.

Artículo 2º: Se considera información pública toda constancia en documentos escritos, fotográficos, grabaciones, soporte magnético, digital o en cualquier otro formato y que haya sido creada u obtenida por las dependencias mencionadas en al Artículo 1º, aún aquella producida por terceros con fondos municipales o que obren en su poder o bajo su control.-

Artículo 3°.- La dependencia requerida debe proveer la información mencionada, siempre que ello no implique la obligación de crear o producir información con la que no cuente al momento de efectuarse el pedido, salvo que la Municipalidad de Chascomús se encuentre legalmente obligada a producirla, en cuyo caso debe proveerla, una vez producida según la normativa vigente.

Artículo 4°.- Toda persona física o jurídica, pública o privada, tiene derecho a solicitar, acceder y recibir información en los términos de la presente ordenanza.

Artículo 5°.- El acceso a la información pública es gratuito en tanto no se otorgue su reproducción. El costo de las copias que se autorizaren es a cuenta y cargo del peticionante, siempre que el costo de la reproducción no obstaculice el ejercicio del derecho.

Artículo 6°.- La solicitud de información se realizará por escrito con la identificación del peticionario, quien deberá consignar como mínimo su nombre, documento de identidad, su domicilio real y constituir domicilio especial en el Distrito de Chascomús.

Las solicitudes también podrán efectuarse en la oficina correspondiente en forma oral, en cuyo caso el funcionario municipal que recepcione el pedido de información deberá dejar constancia de ello e iniciar el trámite pertinente de forma similar a las presentaciones formuladas por escrito.

En ambos casos, se deberá entregar al peticionario de una constancia del pedido efectuado, en la que se le informará el plazo en que se le proveerá la información.-

Artículo 7°.- La información puede ser brindada en el estado en que se encuentre al momento de efectuarse la petición, no estando obligada la dependencia respectiva a procesarla o clasificarla.-

Artículo 8°.- La demanda de información deberá ser satisfecha dentro del plazo de 20 (veinte) días posteriores a la fecha de solicitud, sin perjuicio de la posibilidad de extender el plazo por el mismo término por resolución fundada por autoridad competente.-

Artículo 9°.- La denegatoria a la solicitud de la información requerida debe ser fundada, realizada por escrito y suscripto por funcionario público autorizado.-

Artículo 10°.- Los funcionarios y agentes responsables que arbitrariamente y sin razón que lo justifique no hicieren entrega de la información solicitada o negaren el acceso a su fuente, la suministraren incompleta y/u obstaculizaren en alguna forma el cumplimiento de los objetivos de esta ordenanza, serán considerados incursos en falte grave en el ejercicio de sus funciones, siéndole aplicable el régimen sancionatorio vigente, previa instrucción de sumario administrativo. Sí el solicitante considera que la demanda de información no se hubiera satisfecho sin causa o si la respuesta a la requisitoria hubiera sido ambigua o parcial o por una incorrecta aplicación de las excepciones previstas por el Artículo 11 de la presente Ordenanza, quedará habilitada la acción de Amparo ante la autoridad judicial competente.-

Artículo 11°.- La Municipalidad de Chascomús y sus Delegaciones, Entes y Organismos descentralizados sólo pueden exceptuarse de proveer la información requerida cuando una ley, ordenanza, decreto o resolución así lo establezca o cuando se configure alguno de los siguientes supuestos:

a- Información que afecte los derechos de terceras personas;

b- Información preparada por asesores jurídicos o abogados del Municipio cuya publicidad pudiera revelar la estrategia a adoptarse en la defensa o tramitación de una causa judicial o divulgare las técnicas o procedimientos de investigación o cuando la información privare a una persona el pleno ejercicio de la garantía del debido proceso;

c- Cualquier tipo de información protegida por el secreto profesional o por normas provinciales y/o nacionales o abarcada por secreto del sumario;

d- Notas internas con recomendaciones u opiniones producidas como parte del proceso previo al dictado de una acto administrativo o a la toma de una decisión que no forman parte de un expediente;

e- Información referida a datos personales de carácter sensible –en los términos de la ley nº 25.326- cuya publicidad constituya una vulneración al derecho a la intimidad y al honor, salvo que se cuente con el consentimiento expreso de la persona a quien refiere la información solicitada;

f- Información que pueda ocasionar un peligro a la vida o seguridad de una persona;

g- Información sobre materias exceptuadas por leyes u ordenanzas específicas;

h- Información obrante en actuaciones que hubieren ingresado al Departamento de Asuntos Técnicos para el dictado del acto administrativo definitivo; hasta el momento de su publicación y/o notificación.-

Artículo 12º: El presidente del Honorable Concejo Deliberante y el Intendente Municipal, dentro del plazo máximo de 60 días a partir de la promulgación de esta ordenanza, dictarán las reglamentaciones correspondientes a efectos de poner en práctica el procedimiento previsto en la presente norma, determinando los lugares o dependencias que atenderán las solicitudes de información en sus respectivos departamentos.-

Artículo 13°.- De forma.-

DECRETO Nº 776/07

Chascomús, 25 de Junio de 2007.-

La señora Intendente Municipal que suscribe, en uso de sus atribuciones

DECRETA

Artículo 1º.- Promúlguese la presente Ordenanza.-

Artículo 2º.- Notifíquese a Secretarías de Gobierno y Hacienda, de Planificación y Desarrollo, Dirección de Obras Privadas y Catastro, Dirección de Ingresos Públicos, Delegación

Manuel J. Cobo.-

Artículo 3°.- El presente Decreto será refrendado por el señor Secretario de Gobierno y Hacienda.-

Artículo 4°.- Cúmplase, publíquese, dése al Registro Municipal y archívese.-

CPN Marcelo O. Chiacchio

Sec. de Gobierno y Hacienda

Liliana E. Denot

Intendente Municipal

Personal Data Protection Act 2002

Chapter One. GENERAL PROVISIONS

Article 1
(Amended, SG nº 103/2005)

(1) This Act shall regulate the protection of rights of individuals with regard to the processing of their personal data.

(2) The purpose of this Act is to guarantee the inviolability of personality and privacy by ensuring protection of individuals in case of unauthorised processing of personal data relating to them, in the process of free movement of data.

(3) This Act shall apply to the processing of personal data which are, or are designed to become, part of a register where such processing is performed by a personal data administrator:

1. having an establishment on the territory of the Republic of Bulgaria;

2. not having an establishment on the territory of the Republic of Bulgaria but bound to apply this Act by virtue of international public law;

3. not having an establishment on the territory of an European Union Member State, nor in another member country of the European Economic Area but, for the purposes of such processing, making use of means located on the territory of the Republic of Bulgaria, unless such means are being used exclusively for transit purposes; in such a case the administrator must designate a representative having an establishment on the territory of the Republic of Bulgaria, this, however, shall not render it harmless.

(4) Processing of personal data for defence, national security and public order purposes, and for the purposes of criminal justice shall be governed by special laws.

(5) The terms and procedure for processing uniform civil registry personal identification numbers and other identification numbers of general application shall be governed by special laws.

(6) This Act shall not apply to the processing of personal data by individuals for their personal or household activity.

Article 2
(Supplemented, SG nº 70/10.08.2004, amended, SG nº 103/2005)

(1) “Personal data” shall refer to any information relating to an individual who is identified or identifiable, directly or indirectly, by reference to an identification number or to one or more specific features relating to his or her physical, physiological, genetic, mental, psychological, economic, cultural or social identity.

(2) Personal data must be:

1. processed in legal compliance and in a bona fide manner;

2. captured for specific, precisely defined and legal purposes and not be submitted to additional processing in a manner incompatible with such purposes; additional processing of personal data for historical, statistical or research purposes shall be allowable provided the administrator has ensured proper protection guaranteeing that such data are not being processed for any other purposes;

3. proportional to the purposes for which they are being processed;

4. accurate, and updated as needed;

5. destroyed or adjusted when found to be imprecise or disproportional to the purposes for which they are being processed;

6. maintained in a form that enables identification of the respective individuals for a period not to exceed the time necessary for the purposes for which such data are being processed; personal data which are to be retained for a longer period of time for historical, statistical or research purposes shall be stored in a format precluding the identification of individuals.

Article 3

(1) Personal data administrator, hereinafter referred to as “administrator”, shall refer to any natural or legal person, or a central or local government authority which processes personal data, and the purposes and means of processing shall be determined by law. (Amended, SG nº 103/2005)

(2) “An administrator” shall also refer to any natural or legal person, or a central or local government authority which determines by itself the type of personal data processed, and the purposes and means of processing. (New, SG nº 103/2005)

(3) The personal data administrator shall process personal data on its own or through assignment to a data processor. (Repealed, renumbered from Paragraph (2), SG nº 103/2005)

(4) The administrator shall ensure compliance with the requirements laid out in Article 2 paragraph (2). (New, SG nº 103/2005)

Article 4
(Amended, SG nº 103/2005)

(1) Personal data may be processed only provided at least one of the following conditions is met:

1. processing is necessary in order to comply with an obligation imposed on the personal data administrator by a piece of legislation;

2. the individual to whom such data relate has given his or her explicit consent;

3. processing is necessary for the execution and performance of a contract to which the individual to whom such data relate is party;

4. processing is necessary in order to protect the life and health of the individual to whom such data relate;

5. processing is necessary for the performance of a task carried out in the public interest;

6. processing is necessary for the exercise of an official authority vested by law in the administrator or in a third party to whom the data are disclosed;

7. processing is necessary for the realisation of the legitimate interests of the personal data administrator or a third party to whom the data are disclosed, except where such interests are overridden by the interests of the individual to whom such data relate.

(2) Personal data processing shall be allowable also in cases when performed exclusively for the purposes of journalism, literary or artistic expression to the extent to which such processing does not violate the right to privacy of the person to whom the data relate. In such cases, the provisions of Chapter Three shall not apply.

Article 5
(Amended, SG nº 103/2005)

(1) It shall be forbidden to process personal data which:

1. reveal racial or ethnic origin;

2. reveal political, religious or philosophical convictions, membership in political parties or organisations, associations having religious, philosophical, political or trade-union goals;

3. refer to health, sex life or human genome.

(2) Paragraph (1) shall not apply where:

1. processing is necessary for the purposes of carrying out specific rights and obligations of the administrator in the field of labour law;

2. the individual to whom such data relate has given his or her consent to the processing of such data, except where otherwise provided by a special law;

3. processing is necessary to protect the life and health of the individual to whom such data relate, or of another person, and the physical condition of such individual render him incapable of giving his or her consent, or there are legal impediments to doing so;

4. processing is carried out by a non-profit organisation, including such with a political, philosophical, religious or trade-union goal, in the course of its legitimate activities and with appropriate protection, on condition that:

(a) the processing relates exclusively to the members of such organisation or to persons who have regular contact with it in connection with its goals;

(b) the data are not disclosed to a third party without the consent of the individual to whom such data relates;

5. the processing relates to data which have been made public by the individual to whom such data relate, or it is necessary for the establishment, exercise or defence of legal claims;

6. processing of the data is required for the purposes of preventive medicine, medical diagnostics, the provision or management of health-care services provided that such data are processed by a medical professional who is bound by law to professional secrecy, or by another person under a similar obligation of secrecy;

7. processing is performed exclusively for the purposes of journalism, literary or artistic expression to the extent to which it does not violate the right to privacy of the person to whom such data relate.

Chapter Two. COMMISSION FOR PERSONAL DATA PROTECTION

Article 6

(1) The Commission for Personal Data Protection, hereinafter referred to as “the Commission”, is an independent government body ensuring the protection of individuals in the processing of their personal data and in the access thereof, as well as the monitoring of the observance of this Act.

(2) The Commission is a budget-supported legal entity with its head office in Sofia.

Article 7

(1) The Commission is a college body, consisting of a chairperson and four members.

(2) The members of the Commission and its chairperson shall be elected by the National Assembly at the proposal of the Council of Ministers for a five-year term and they may seek re-election for another term of office. The decision shall specify also the amount of their remuneration.

(3) The chairperson and the members of the Commission shall work on the basis of employment contracts.

(4) The Commission shall submit an annual report on its activities to the National Assembly before the 31st day of January every year. (Amended, SG nº 103/2005)

Article 8

(1) Eligible members of the Commission may be Bulgarian citizens who:

1. hold university degree in information science or law or master's degree in information technologies;

2. have at least ten years of service in their subject;

3. have not been convicted to imprisonment for a willful indictable offence regardless of whether rehabilitated. (Supplemented, SG nº 103/2005)

(2) Members of the Commission may not:

1be persons who are sole proprietors, managers/procurators or members of management or supervisory bodies of commercial undertakings, cooperatives or personal data administrators in the meaning of this Act; . (Amended, SG nº 103/2005)

2. occupy other paid jobs, except for research or teaching.

(3) A qualified member of the legal profession meeting the requirements laid down in Paragraphs 1 and 2 shall be elected as the chairperson of the Commission.

(4) The term of office of the chairperson or a member of the Commission shall be terminated earlier in any of the following cases:

1. death or legal incapacity;

2. at a decision of the National Assembly, where:

(a) a request for discharge from duties has been served;

(b) the person has committed a gross violation of this Act;

(c) the person has committed a willful indictable offence and an enforceable judgement has been issued;

(d) impossibility for discharge of duties for more than six months.

(5) In the cases under Paragraph 4, the Council of Ministers shall propose to the National Assembly to select a new member until the expiration of the original term of office of the respective member of the Commission. (Amended and supplemented, SG nº 103/2005)

(6) The service as a chairperson or a member of the Commission shall be recognised also as length of service for the purposes of the Civil Servants Act .

Article 9

(1) The Commission shall operate as a standing body assisted by an administration.

(2) The Commission shall issue regulations for its work and the work of its administration and promulgate these regulations in The State Gazette.

(3) The Commission shall make decisions by a majority vote of the total number of its members.

(4) The Commission shall sit in public meetings. The Commission may decide to hold certain meetings in camera.

Article 10

(1) The Commission shall:

1. review and monitor the observance of the legal framework in the field of the personal data protection;

2keep a register of personal data administrators and the personal data registers kept by them; . (supplemented, SG nº 103/2005)

3. investigate personal data administrators in connection with its activities under Item 1;

4. give opinions and issue permissions in the cases provided by this Act;

5. issue mandatory instructions to administrators in connection with the personal data protection;

6. suspend, upon prior notification, the processing of personal data that will violate the provisions on the protection of personal data;

7. handle complaints against acts and actions of administrators which infringe the rights of individuals under this Act, as well as third parties' complaints in relation to their rights under this Act; (amended, SG nº 103/2005)

8. participate in the drafting of and must issue an opinion in regard to drafts of laws and regulations in the field of personal data protection; (amended, SG nº 103/2005)

9. ensure enforcement of European Commission decisions in the field of personal data protection. (New, SG nº 103/2005)

(2) The terms and conditions for keeping the register under paragraph (1), item (2), for notifying the Commission, with regard to permissions and opinions, for examining complaints, and issuing mandatory instructions or suspending personal data processing shall be lad down in the regulations under Article 9, Paragraph 2. (Amended, SG nº 103/2005)

(3) The Commission shall issue a newsletter to publish information about its activities and decisions. The bulletin shall also contain the report referred to in Article 7, paragraph (4). (Supplemented, SG nº 103/2005)

(4) The Commission shall adopt a Code of Ethics for the behaviour of personal data administrators taking into consideration the specifics of their activity. (New, SG nº 103/2005)

Article 11

The chairperson of the Commission shall:

1. organise and guide the activities of the Commission as prescribed by law and the decisions of the Commission and be responsible for the fulfilment of its duties;

2. represent the Commission before third parties;

3. appoint and discharge civil servants and sign and terminate the employment contracts with the employees in the administration upon a decision of the Commission. (supplemented, SG nº 103/2005)

4. issue penal provisions as provided for in Article 43, paragraph (2). (New, SG nº 103/2005)

Article 12

(1) The chairperson and the members of the Commission or persons from the administration designated by the Commission shall monitor the implementation of this Act.

(2) (Repealed, SG nº 103/2005) .

(3) The examinations referred to in paragraph (1) shall be carried out at the request of the persons concerned, as well as on the Commission's initiative based on a monthly control activity plan adopted by it. (Amended, SG nº 103/2005)

(4) The examiners shall produce their official identity papers and the order issued by the Commission chairman for the relevant examination. (Amended, SG nº 103/2005)

(5) In conducting examinations, the persons referred to in paragraph (1) may contract the preparation of expert opinions following the procedure laid down in the Code of Civil Procedure . (Amended, SG nº 103/2005)

(6) An examination shall end in a memorandum of findings, and in case a violation of this Act has been found, it shall end in issuing a memorandum establishing such violation. (Amended, SG nº 103/2005)

Article 13
(Amended, SG nº 103/2005)

(1) The Chairman and members of the Commission, and the staff of its administration must not disclose and not make use, for their own or any third party's benefit, of any information constituting a secret protected by a law of which they have become aware in the performance of their official duties, until the period provided for the protection of such information has expired.

(2) When hired, the persons referred to in paragraph (1) shall submit a declaration concerning their obligations provided for in paragraph (1).

Article 14
(Amended, SG nº 103/2005)

(1) The data provided for in Article 18, paragraph (2) shall be recorded in the register referred to in Article 10, paragraph (1), Item 2.

(2) Data entry in the register referred to Article 10, paragraph (1), Item 2 shall be certified by an identification number.

(3) The register referred to in paragraph (1) shall be public.

Article 15
(Repealed, SG nº 103/2005)

Article 16
(Amended, SG nº 103/2005)

(1) Within 14 days from filing a registration notification as referred to in Article 18, the Commission shall enter the personal data administrator in the register referred to in Article 10, paragraph (1), Item 2, if the requirements of this Act with regard to the personal data processing have been met.

(2) Before making the entry referred to in paragraph (1), The Commission shall be free to make a preliminary examination and issue mandatory prescriptions as to the conditions for personal data processing and register keeping by the personal data administrator.

Chapter Three. OBLIGATIONS OF PERSONAL DATA ADMINISTRATORS
(Heading amended, SG nº 103/2005)

Article 17
(Amended, SG nº 103/2005)

(1) The personal data administrator must file a application for registration when at least one of the following conditions are met:

1. it processes personal data that reveal racial or ethnic origin, political, religious or philosophical convictions, membership in political parties or organisations, associations having religious, philosophical, political or trade-union goals, and personal data that refer to health, sex life or human genome;

2. it processes personal data in the exercise of an official authority vested by law;

3. it maintains a register containing data on not less than 100 individuals;

4. it has been issued a binding prescription for registration by the Commission.

(2) An administrator shall be free to register at its own initiative without being obliged to do so.

Article 18
(Supplemented, SG nº 93/2004, amended, SG nº 103/2005)

(1) Any personal data administrator or its representative shall file a registration application as referred to in Article 17 and documents in a set format approved by the Commission before they begin to process personal data.

(2) The application shall contain:

1. the data identifying the personal data administrator and its representative, if any;

2. the purposes of personal data processing;

3. the categories of individuals whose data are processed, and the categories of personal data relating to them;

4. the recipients or categories of recipients to whom the personal data may be disclosed;

5. proposed provision of data in other countries;

6. the general description of measures undertaken in accordance with Article 23 enabling a preliminary assessment of their appropriateness.

(3) The administrator shall notify the Commission of any change in the data referred to in paragraph (2) prior to making such change. In cases where such change is provided for in a law, notification must be made within 7 days following the effective date of such law.

(4) In cases where the administrator is not registered in the register referred to in Article 10, paragraph (1), subparagraph (2), it must provide the data referred to in paragraph (2) to every person upon request.

Article 19
(Supplemented, SG nº 93/2004, amended, SG nº 103/2005)

(1) Where personal data are collected from the individual to whom such data relate, the administrator or its representative must provide him with:

1. the data which identify the administrator and its representative;

2. the purposes for which the data are being processed;

3. the recipients or categories of recipients to whom the personal data may be disclosed;

4. the data concerning the obligatory or voluntary nature of data provision and the consequences of a failure to provide them;

5. information about the right of access to and the right to rectify the data collected.

(2) The data referred to in paragraph (1) shall not be provided when the individual to whom they relate already has such data, or if a law provides for an express prohibition on providing them.

Article 20
(Amended, SG nº 103/2005)

(1) Where personal data have not been collected from the individual to whom they relate, the administrator or its representative must provide him with:

1. the data which identify the administrator and its representative;

2. the purposes for which the data are being processed;

3. the categories of personal data relating to the respective individual;

4. the recipients or categories of recipients to whom the personal data may be disclosed;

5. information about the right of access to and the right to rectify the data collected.

(2) The data referred to in paragraph (1) shall be provided to the individual to whom they relate at the time they are recorded in the respective register or, if data are to be disclosed to a third party, not later than at the time of their first disclosure.

(3) Paragraph (1) shall not apply where:

1. processing is done for statistical purposes or for the purposes of historical or scientific research and the provision of the data referred to in paragraph (1) is impossible or would involve a disproportionate effort;

2. recording or disclosure of data is explicitly laid down by law;

3. the individual to whom such data relate already has the information referred to in paragraph (1);

4. this is explicitly prohibited by law.

Article 21
(Amended, SG nº 103/2005)

(1) Any other information beyond that referred to in Article 19, paragraph (1) and Article 20, paragraph (1) relating to data processing shall be provided upon an assessment of the need to provide it, in order to ensure fair processing of data in regard to the individual to whom they relate.

(2) The assessment referred to in paragraph (1) shall be made by the administrator on a case by case basis.

Article 22
(Amended, SG nº 103/2005)

(1) The personal data administrator must provide access for the persons referred to in Article 12, paragraph (1) to registers maintained by it and must not impede control of the process of personal data processing.

(2) The personal data administrator must provide the information requested by the persons referred to in Article 12, paragraph (1) orally or in writing, or on other information carriers.

(3) Where such information contains data constituting classified information, the access procedure provided for in the classified Information Protection Act shall apply.

(4) All persons engaged in personal data processing must cooperate with the Commission in the exercise of its powers.

Chapter Four. PERSONAL DATA PROTECTION

Article 23
(Amended, SG nº 103/2005)

(1) The personal data administrator must implement appropriate technical and organisational measures to protect the data against accidental or unlawful destruction, or against accidental loss, unauthorised access, alteration or dissemination, and against other unlawful forms of processing.

(2) The administrator shall implement special protection measures where processing involves the transmission of data over an electronic network.

(3) Measures referred to in paragraph (1) and paragraph (2) shall take into account state-of-the-art technology and ensure a level of security corresponding to the risks involved in processing, and the nature of the data to be protected.

(4) The measures referred to in paragraph (1) and paragraph (2) shall be determined in an instruction issued by the personal data administrator.

(5) The Commission shall specify the minimum level of technical and organisational measures, as well as the admissible type of protection in a regulation. Such regulation shall be published in the State Gazette.

Article 24

(1) Administrators may process data on their own or through assignment to data processors. When this is needed for organisational reasons, the processing may be assigned to more than one data processor with a view to, inter alia, to delimitate their specific tasks. (Amended, SG nº 103/2005)

(2) Where the data processing is not performed by the administrator, the latter shall designate the data processor and provide sufficient data protection guarantees.

(3) (Repealed, SG nº 103/2005) .

(4) The relationship between the administrator and the personal data processor must be governed by a piece of legislation, a written contract or another act of the administrator defining the scope of duties assigned by the administrator to the data processor. (Amended, SG nº 103/2005)

(5) The administrator shall be jointly and severally liable for any damages caused to any third party resulting from any action or failure to act on behalf of the data processor. (Amended, SG nº 103/2005)

(6) The personal data processor or any person acting under the guidance of the administrator or of the processor who has access to personal data may process them only on instructions from the administrator, unless otherwise provided for by law. (Amended, SG nº 103/2005)

Article 25
(1) (Amended, SG nº 103/2005)

Upon the achievement of the purpose of personal data processing, the personal data administrator must:

1. either destroy the data, or

2. having given prior notification to the Commission, transfer them to another administrator provided that such transfer is provided for in a law and the purposes of processing are identical.

(2) Upon the achievement of the intended purposes of personal data processing, the personal data administrator shall store data only in the cases laid down by law. (Supplemented, SG nº 93/2004, amended, SG nº 103/2005)

(3) In cases where, having achieved the purpose of personal data processing, the administrator wishes to store the personal data processed as anonymous data for historical, statistical or research purposes, it must inform the Commission thereof. (Amended, SG nº 103/2005)

(4) The Commission for Personal Data Protection may prohibit the storage of data for the purposes under Paragraph 3 if the administrator has failed to provide sufficient protection of the anonymous storage of the data processed.

(5) The decision of the Commission under Paragraph 4 shall be subject to appeal before the Supreme Administrative Court. Where the Supreme Administrative Court fails to grant an appeal against the decision of the Commission, the personal data administrator shall destroy the data.

Chapter Five. RIGHTS OF INDIVIDUALS
(Heading amended, SG nº 103/2005)

Article 26

(1) Any individual shall be entitled to access to personal data related to him or her.

(2) In the cases when the right of access granted to an individual may lead to disclosure of personal data of third parties as well, administrators shall provide the relevant individual with access only to that part of the data that relates to himself or herself. (Amended, SG nº 103/2005)

Article 27
(Amended, SG nº 103/2005)

The exercise of the right of access to personal data may not prejudice the rights of any other individual or be aimed against national security and public order.

Article 28
(Amended, SG nº 103/2005)

(1) When exercising his or her right of access, an individual shall be entitled to request, at any time, from the personal data administrator:

1. a confirmation as to whether or not data relating to him are being processed, information as to the purposes of such processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;

2. communication to him, in an intelligible form, containing his or her personal data undergoing processing, and any available information as to their source;

3. information concerning the logic involved in any automatic processing of data concerning him, at least in case of automated decisions referred to in Article 34b.

(2) The individual may exercise his or her right of obtaining the information referred to in paragraph (1) free of charge once every twelve months.

(3) In case the individual dies, his or her rights referred to in paragraph (1) and paragraph (2) shall be exercised by his or her heirs.

Article 28a
(New, SG nº 103/2005)

An individual shall be entitled to require, at any time, from the personal data administrator:

1. to remove, rectify or block his or her personal data the processing of which does not comply with the provisions of this Act;

2. notify any third parties to whom his or her personal data have been disclosed of any removal, rectification, or blocking carried out in compliance with paragraph (1), unless this is impossible or involves a disproportionate effort.

Article 29

(1) The right of access referred to in Article 26 and the rights referred to in Article 28a shall be exercised by submitting an application in writing to the personal data administrator. (Amended, SG nº 103/2005)

(2) The application may also be submitted in electronic form under the procedure laid down in the Electronic Document and Electronic Signature Act . (Amended, SG nº 103/2005)

(3) The application referred to in paragraph (1) shall be filed personally by the individual to whom such data relate or by his or her representative expressly authorised with a power of attorney certified by a notary public. (Amended, SG nº 103/2005)

(4) (Repealed, SG nº 103/2005) .

Article 30
(Amended, SG nº 103/2005)

(1) The application referred to in Article 29 shall contain:

1. the name, address and other data necessary for identifying the respective individual;

2. statement of the request;

3. preferred form of provision of the information referred to in Article 28, paragraph (1);

4. signature, date of submission of the application and mailing address.

(2) In cases where the application is submitted by a duly authorised person, the application shall enclose the power of attorney certified by a notary public.

(3) The personal data administrator shall keep a register of the applications referred to in Article 29.

Article 31

(1) The information referred to in Article 28, paragraph (1) may be provided as a statement orally or in writing, or in the form of a review of the data by the individual concerned or by his or her duly authorised representative. (Amended, SG nº 103/2005)

(2) Individuals may request copies of the personal data processed on a preferred carrier or electronically, unless this is prohibited by law.

(3) The personal data administrator must take into consideration the preferences stated by the applicant as to the form of provision of the information referred to in Article 28, paragraph (1). (Amended, SG nº 103/2005)

Article 32
(Amended, SG nº 103/2005)

(1) In the cases provided for in Article 28, paragraph (1), the personal data administrator or a person explicitly authorised by it shall consider the application referred to in Article 29 and shall respond within 14 days from the submission thereof.

(2) The limit referred to in paragraph (1) may be reasonably extended by the administrator up to 30 days in the cases provided for in Article 28, paragraph (1), items (1) and (2), where the collection of all requested data objectively requires a longer period and this would place a serious burden on the activities of the administrator.

(3) Within 14 days, the administrator shall decide whether to provide full or partial information as laid down in Article 28, paragraph (1) to the applicant, or to deny the provision thereof stating the reasons for such denial.

(4) In the cases referred to in Article 28a, paragraph (1), the administrator shall decide and take the relevant action within 14 days from the submission of the application referred to in Article 29, or shall deny to take action stating the reasons for such denial.

(5) In the cases referred to in Article 28a, paragraph (2), the personal data administrator shall decide within 14 days and shall forthwith notify the third parties concerned or shall deny to make such notification, stating reasons.

Article 33

(1) The personal data administrator shall notify the applicant in writing of its decision or denial under Article 32, paragraphs (3) to (5) within the relevant time limit. (Amended, SG nº 103/2005)

(2) The notice under Paragraph 1 shall be delivered personally against signature or by registered mail.

(3) The absence of notification as referred to in paragraph (1) shall be deemed to constitute a denial. (New, SG nº 103/2005)

Article 34

(1) The administrator shall deny access to personal data where such data do not exist or the provision thereof is prohibited by law. (Amended, SG nº 103/2005)

(2) (Repealed, SG nº 103/2005) .

(3) The administrator shall deny full or partial access to data to the individual to whom such data relate where such access would jeopardise defence or national security, or the protection of classified information. There is no need to state other reasons than the legal grounds justifying such denial. (New, SG nº 93/2004, amended, SG nº 103/2005)

Article 34a
(New, SG nº 103/2005)

(1) The individual to whom such data relate shall be entitled:

1. to object to the administrator to the processing of his or her personal data on the basis of legitimate grounds; where such objection is justified, the personal data of the relevant individual may no longer be processed;

2. to object to the processing of his or her personal data for the purposes of direct marketing;

3. to be informed before his or her personal data are disclosed for the first time to third parties or used on their behalf for the purposes set out in subparagraph (2), and to be given the opportunity to object to such disclosure or use.

(2) The administrator shall inform the individual of his or her rights referred to in paragraph (1), subparagraphs (2) and (3).

Article 34b
(New, SG nº 103/2005)

(1) The administrator's decision shall be inadmissible where:

1. it engenders legal effects or significantly affects the individual, and

2. it is based solely on automated processing of personal data designed to evaluate certain personal aspects of the individual.

(2) Paragraph (1) shall not apply where the decision is:

1. taken in the course of the execution or performance of a contract, provided that the request for the execution or the performance of such contract lodged by the individual concerned has been satisfied, or provided that there are appropriate measures safeguarding his or her legitimate interests;

2. is regulated for in a law which also lays down measures to safeguard the individual's legitimate interests.

(3) The individual shall be entitled to request the administrator to review any decision made in breach of the provisions of paragraph (1).

Chapter Six. PROVISION OF PERSONAL DATA TO THIRD PARTIES

Article 35
(Supplemented, SG nº 43/2005, amended, SG nº 103/2005)

(1) The provision of personal data by the administrator to any third party shall be allowed:

1. in the presence of any of the grounds provided for in Article 4;

2. if the sources of data are public registers or documents containing public information for which access is ensured in a procedure laid out in a law.

(2) In the cases referred to in paragraph (1) item (1), a request in writing shall be submitted with an indication of the grounds for the provision of personal data.

(3) The administrator shall respond with a decision on the request within 14 days, providing the data requested or denying the provision thereof stating the reasons for such denial.

(4) The administrator shall notify the third party concerned in writing of his or her decision under paragraph (3).

(5) The parties concerned may appeal against the provision of personal data or the denial thereof following the procedure laid down in Chapter Seven.

Article 36
(Amended, SG nº 103/2005)

(1) The provision of personal data by the administrator to foreign natural or legal persons or to foreign government authorities shall be allowed upon approval by the Commission for Personal Data Protection, if the legislation of the recipient country guarantee a level of data protection that is better or equivalent to that provided by this Act.

(2) In the transfer of personal data in cases referred to in paragraph (1), the requirements of this Act shall apply.

Article 36a
(New, SG nº 103/2005)

(1) The transfer of personal data in any Member State of the European Union and in any other member country of the European Economic Area shall be done freely, in compliance with the requirements of this Act.

(2) The transfer of personal data to a third country shall be allowed only such third country ensures an adequate level of personal data protection within its territory.

(3) The adequacy of the level of protection of personal data afforded by a third country shall be assessed by the Commission for Personal Data Protection in consideration of all the circumstances relating to the data transfer operation or the set of data transfer operations, including the nature of data, the purpose and duration of their processing, the legal basis and security measures provided in such third country.

(4) The assessment referred to in paragraph (3) shall not apply where the European Commission has issued a decision as to the level of personal data protection in such third country to which data is transferred.

(5) The requirement referred to in paragraph (2) shall not apply where the transfer of personal data is carried out on the basis of an international treaty which has been ratified, published and has effectively entered into force for the Republic of Bulgaria.

(6) Except for the cases referred to in paragraph (2) and paragraph (4), the administrator may transfer personal data in a third country if:

1. the individual to whom such data relate has given his or her explicit consent;

2. the transfer is necessary for the performance of a contract executed between the individual and the administrator or performed at such person's request;

3. the transfer is necessary for the performance of a contract executed in the interest of the individual between the administrator and another contract party;

4. the transfer is necessary or required by law due to an important public interest, or for the establishment, exercise or defence of legal claims;

5. the transfer is necessary in order to protect the life and health of the individual to whom such data relate;

6. the transfer concerns data which are openly accessible to the public.

(7) The transfer of personal data in third countries shall be admissible in all cases where performed exclusively for the purposes of journalism, literary or artistic expression to the extent to which it does not violate the right to privacy of the person to whom such data relate.

Article 36b
(New, SG nº 103/2005)

(1) Except for the cases provided for in Article 36a, the transfer of personal data in a third country shall take place upon approval by the Commission for Personal Data Protection provided that both the administrator transferring the data and the administrator receiving the data have provided adequate safeguards for the protection of such data.

(2) The Commission shall notify the European Commission and the competent authorities of the other Member States of approvals issued under paragraph (1).

Article 37
(Repealed, SG nº 103/2005)

Chapter Seven. APPEAL AGAINST ACTIONS OF PERSONAL DATA ADMINISTRATORS

Article 38

(1) In case his or her rights under this Act are infringed, any individual may cease the Commission for Personal Data Protection within 30 days from the date when he has become aware of such infringement but not later than one year from the date when such infringement has taken place. (Amended, SG nº 103/2005)

(2) The Commission shall pass a decision within 30 days from the date when the matter was referred to it and may issue binding prescriptions, set a time limit to remedy the infringement or impose an administrative penalty. (Amended, SG nº 103/2005)

(3) (Repealed, SG nº 103/2005) .

(4) The Commission for Personal Data Protection shall send a copy of the decision also to the individual.

(5) The decision of the Commission as referred to in paragraph (2) shall be subject to appeal before the Supreme Administrative Court within 14 days of its receipt. (Amended, SG 103/2005)

Article 39

(1) Any individual may, in case of an infringement of his or her rights under this Act, appeal against actions and acts of the administrator before the relevant administrative court or the Supreme Administrative Court, as the case may be, in accordance with the general rules governing jurisdiction, within the time limit set in Article 38, paragraph (1). (Amended, SG nº 103/2005, amended, SG nº 30/2006, effective 1.03.2007)

(2) In the proceedings referred to in paragraph (1), the individual may claim compensation for any damages incurred as a result of unlawful processing of personal data by the administrator. (Amended, SG nº 103/2005)

(3) The individual concerned may not cease the court in case of pending proceedings before the Commission concerning the same violation or in case where the Commission's decision concerning the same violation has been appealed against but there is no court judgement which has the force of res judicata yet. The Commission shall verify, at the request of the individual concerned, whether proceedings concerning the same dispute are pending or not before it. (New, SG nº 103/2005)

(4) In the cases of failure to fulfill the prescriptions under Article 38, paragraph (2) within the indicated time limits, the Commission for Personal Data Protection may seize the relevant regional court or the Supreme Administrative Court for the violation committed by the personal data administrator within 14 days, depending on the general jurisdiction rules. (Renumbered from Paragraph (3), amended, SG nº 103/2005)

(5) In the hearing of disputes under Paragraph (4), the Administrative Procedure Code , as the case may be, shall apply. (Renumbered from paragraph (4), amended, SG nº 103/2005, SG nº 30/2006)

Article 40
(Repealed, SG nº 103/2005)

Article 41
(Repealed, SG nº 103/2005)

Chapter Eight. ADMINISTRATIVE PENAL PROVISIONS

Article 42
(Amended, SG nº 103/2005)

(1) For any violation of the provisions of Article 2, paragraph (2) and Article 4, the personal data administrator shall be penalized by a fine or pecuniary sanction in the range of BGN 10 000 to BGN 100 000.

(2) For any violation of the provisions of Article 5, the administrator shall be penalized by a fine or pecuniary sanction in the range of BGN 10 000 to BGN 100 000.

(3) For any violation of the provisions of Article 19, paragraph (1) and Article 20, paragraph (1), the administrator shall be penalized by a fine or pecuniary sanction in the range of BGN 5 000 to BGN 30 000.

(4) An administrator which has failed to meet its obligation to register as provided for in Article 17, paragraph (1) shall be penalized by a fine or pecuniary sanction in the range of BGN 1 000 to BGN 10 000.

(5) An administrator failing to act in a timely manner in regard to an application as referred to in Article 29, shall be penalized by a fine or pecuniary sanction in the range of BGN 1 000 to BGN 20 000, unless subject of a more severe sanction.

(6) Persons who refuse to cooperate with the Commission in regard to its control powers shall be penalized by a fine or pecuniary sanction in the range of BGN 1 000 to BGN 10 000.

(7) For any other violation of the provisions of this Act, the offenders shall be penalized by a fine or pecuniary sanction in the range of BGN 500 to BGN 5 000.

Article 42a
(New, SG nº 103/2005)

In cases of violations under this Act committed as repeated violations, a fine or pecuniary sanction shall be imposed in an amount twice higher than the original penalty imposed.

Article 43

(1) Memoranda establishing administrative violations shall be drawn up by a member of the Commission for Personal Data Protection or officials authorised by the Commission. (Amended, SG nº 103/2005)

(2) Penal orders shall be issued by the chairperson of the Commission for Personal Data Protection based on the Commission's decision as referred to in Article 38, paragraph (2). (Supplemented, SG nº 103/2005)

(3) The establishment of violations and the issuance, appeal and execution of penal orders shall comply with the provisions of the Administrative Violations and Penalties Act .

ADDITIONAL PROVISIONS

§ 1.

Within the meaning of this Act:

1. “Processing of personal data” shall mean any operation or set of operations which can be performed in respect to personal data, whether by automatic means or otherwise, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, provision, transfer or otherwise making available, updating or combination, blocking, deletion or destruction. (Amended, SG nº 103/2005)

2. “Personal data register” shall mean any structured set of personal data which is accessible according to specific criteria, whether centralised, decentralised or deployed on a functional or geographical basis. (Amended, SG 103/2005)

3. “Personal data processor” shall mean any natural or legal person, a central or local government authority which processes personal data on behalf of the personal data administrator. (Amended, SG 103/2005)

4. (Repealed, SG 103/2005) .

5. “Provision of personal data” is actions for the full or partial transfer of personal data from one administrator to another or to a third party within the territory of the country or abroad.

6. “Anonymous data” shall mean any personal data put in a form which does not allow such data to be related to the respective individual to whom such data relate. (Amended, SG 103/2005)

7. “Blocking” is the storage of personal data with suspended processing.

8. (Repealed, SG 103/2005) .

9. “Repeated” violation is the one committed within a year of the effective date of the penalty order on the imposition of a penalty for the same type of violation.

10. “Human genome” is the sum total of all genes in a single (diploid) set of chromosomes of an individual. (New, SG nº 70/2004, effective 1.01.2005)

11“Third party” shall mean any natural or legal person, central or local government authority other than the individual to whom the data relate, the personal data administrator, the personal data processor and the persons who, under the direct guidance of the administrator or the processor, are authorised to process personal data. . (New, SG 103/2005)

12. “Recipient” shall mean a natural or legal person, an authority of central or local government to whom personal data are disclosed, whether a third party or not. Authorities which can receive data in the framework of a particular inquiry shall not be regarded as recipients. (New, SG 103/2005)

13. “Consent of the individual” shall mean any freely given, specific and informed statement of volition by which the individual to whom personal data relate signifies his or her agreement to such data being processed. (New, SG 103/2005)

14. “Third country” shall mean any state which is not a member of the European Union and is not a country signatory to the European Economic Space Agreement. (New, SG 103/2005)

15. “Direct marketing” shall mean the offering of goods and services to individuals by mail, telephone, or in another direct way, and a survey aimed at research regarding the goods and services offered. (New, SG 103/2005)

TRANSITIONAL AND CONCLUDING PROVISIONS

§ 2.

(1) The Council of Ministers shall propose the membership of the Commission for Personal Data Protection to the National Assembly within a month of the effective date of this Act.

(2) The National Assembly shall elect the membership of the Commission for Personal Data Protection within 14 days of the date of the proposal under Paragraph 1.

(3) The Commission for Personal Data Protection shall adopt and promulgate in The State Gazette the regulations under Article 9, Paragraph 2 within three months of its election.

(4) The Council of Ministers shall provide the property and financial resources needed for the Commission to start its work within a month of the effective date of the decision of the National Assembly under Paragraph 2.

§ 3.

(1) The persons maintaining personal data registers as of the effective date of this Act shall adjust them to the requirements of this Act and advise the Commission thereof within six months of the effective date of the regulations under Article 9, Paragraph 2.

(2) The Commission shall conduct preliminary checks and register or refuse to register as administrators persons maintaining personal data registers as of the effective date of this Act and their registers within three months of the reception of the notice under Paragraph 1.

(3) The decisions of the Commission to refuse registration shall be subject to appeal before the Supreme Administrative Court within 14 days.

(4) Upon the enforceability of the decision of the Commission to refuse registration or the judgement of the Supreme Administrative Court confirming the refusal by the Commission, the person maintaining a register unlawfully shall destroy the personal data therein or, with the consent of the Commission, transfer the data to another administrator who has registered its register and processes personal data for the same purposes.

(5) The Commission shall monitor the observance of the obligation under Paragraph 4.

(6) Within three months of their registration, the administrators under Article 3, Paragraph 1 shall publish the details under Article 22, Paragraph 1 in the newsletter of the Commission for Personal Data Protection.

§ 4.

The Access to Public Information Act (SG, nº 55 of 2000) shall be amended as follows:

1. In Article 2, Paragraph 3 , the words “personal information” shall be replaced by the words “personal data”.
2. § 1, Item 2 shall be amended as follows:
“2. Personal data shall mean the information of an individual, revealing his or her physical, psychological, mental, marital, economic, cultural or social identity.”

§ 5.

This Act shall enter into force on 1 January 2002.

TRANSITIONAL AND CONCLUDING PROVISIONS

of the Act Amending the Personal Data Protection Act
(SG 103/2005)

§ 50. The provision of § 38 concerning Article 36 shall apply until the Treaty of Accession of the Republic of Bulgaria to the European Union takes effect.

§ 51. The provisions of § 1 concerning Article 1, paragraph (3), subparagraph (3), § 8, item (1), section (c) concerning Article 10, paragraph (1), subparagraph (9), § 39 concerning Article 36a, § 40 concerning Article 36b, and § 48, item (5) concerning item (14) of the Additional Provision shall take force as of the effective date of the Treaty of Accession of the Republic of Bulgaria to the European Union.

§ 52. Within three months following the effective date of the Act, the Commission for Personal Data Protection shall adopt the Code of Ethics referred to in Article 10, paragraph (4), and the regulation referred to in Article 23, paragraph (5).

Promulgated State Gazette nº 1/4.01.2002, effective 1.01.2002, supplemented, SG nº 70/10.08.2004, effective 1.01.2005, SG nº 93/19.10.2004, nº 43/20.05.2005, effective 1.09.2005, amended and supplemented, SG nº 103/23.12.2005, amended, SG nº 30/11.04.2006, effective 12.07.2006

Provvedimento 10 marzo 2003. Banca dati dei sinistri relativi all'assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore immatricolati in Italia . Disciplina delle procedure e delle modalità di funzionamento della banca dati sinistri r.c. auto, nonché delle modalità e dei limiti di accesso alle informazioni raccolte. (Provvedimento n. 2179).

Capitolo I

Articolo 1. Definizioni

Nel presente provvedimento, si intende per:
a) “legge”: la legge 26 maggio 2000, n. 137, di conversione, con modificazioni, del decreto.legge 28 marzo 2000, n. 70, e successive integrazioni e modificazioni;
b) “provvedimento n. 1764”: il provvedimento ISVAP 21 dicembre 2000, n. 1764 e successive modificazioni;
c) “imprese”: le imprese di assicurazione di cui all'Articolo l del provvedimento n. 1764;
d) “sinistri”: i sinistri relativi all'assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore immatricolati in Italia;
e) “banca dati sinistri”: l'archivio elettronico dei dati relativi ai sinistri comunicati dalle imprese all'ISVAP, accessibile ai sensi dell'Articolo, 2, comma 5.quater, della legge;
f) “comunicazioni”: le trasmissioni periodiche all'ISVAP dei dati relativi ai sinistri da parte delle imprese, secondo le modalità indicate dal provvedimento n. 1764;
g) “controlli di conformità tecnica”: i controlli logico.formali effettuati sulle comunicazioni delle imprese prima della registrazione dei dati, effettuati secondo le modalità tecniche indicate nel provvedimento n. 1764;
h) “soggetti autorizzati”: le imprese, gli organi giudiziari e di polizia giudiziaria che, in base alla legge, possono accedere alla banca dati sinistri;
i) “soggetti abilitati”: le persone fisiche incaricate dalle imprese abilitate ad accedere ai dati registrati nella banca dati sinistri;
j) “liquidazione”: la conclusione del procedimento, curato da una impresa, di accertamento, liquidazione e pagamento dei danni derivanti da un sinistro.

Articolo 2. Finalità della banca dati sinistri

1. Presso l'ISVAP é istituita la banca dati sinistri per l'esclusiva finalità di prevenzione e contrasto di comportamenti fraudolenti nel settore dell'assicurazione obbligatoria per i veicoli a motore immatricolati in Italia.

Articolo 3. Informazioni contenute nella banca dati sinistri

1. Nella banca dati sinistri sono raccolti e trattati i dati relativi ai sinistri comunicati dalle imprese, dal momento del loro accadimento fino alla liquidazione, nel rispetto del principio di proporzionalità nel trattamento dei dati e con modalità e logiche di organizzazione ed elaborazione delle informazioni dirette esclusivamente ad assicurare una rappresentazione statica della situazione storica di ciascun sinistro.
2. Nella banca dati sinistri sono contenuti i seguenti tipi di dati relativi ai sinistri comunicati dalle imprese, completi degli elementi specificati negli allegati al provvedimento n. 1764:
a) data delle comunicazioni e codici relativi alle imprese trasmittenti;
b) data e luogo di accadimento dei sinistri;
c) numero, tipo e stato dei sinistri, date ed importi dei risarcimenti eventualmente effettuati;
d) codice centro liquidazione sinistri e data di arrivo richiesta o denuncia danni;
e) targa o telaio, marca, tipo o modello e anno di immatricolazione dei veicoli coinvolti con indicazioni delle parti danneggiate;
f) numeri e periodi di copertura delle polizze assicurative e codici relativi alle imprese ed agli intermediari;
g) generalità, data e luogo di nascita, codice fiscale, residenza o denominazione, codice fiscale o partita IVA dei contraenti le polizze assicurative relative ai veicoli coinvolti nei sinistri:
h)generalità, data e luogo di nascita, codice fiscale, residenza, numero patente dei proprietari e conducenti dei veicoli coinvolti e del responsabile della circolazione (solo per i ciclomotori; in tal caso, possono essere indicate denominazione, partita iva e sede dell'eventuale persona giuridica);
i) generalità, data e luogo di nascita, codice fiscale, residenza dei terzi danneggiati;
j) generalità, data e luogo di nascita, codice fiscale dei professionisti incaricati (periti, legali o patrocinatori, medici);
k) estremi identificativi delle carrozzerie o autofficine di riparazione (tipo, nome e cap);
l) generalità, data e luogo di nascita dei testimoni eventualmente intervenuti;
m) indicazioni su eventuali autorità intervenute nei luoghi di accadimento dei sinistri, presidi di pronto soccorso (in caso di ricoveri per danni alle persone) e organi giudiziari (in caso di sinistri in contenzioso).
3. Sono inoltre comunicate e registrate nella banca dati sinistri le indicazioni relative a decessi e, in caso di danni alle persone, alle zone anatomiche delle lesioni subite dai soggetti coinvolti nei sinistri e alle percentuali di invalidità permanente causata dagli stessi sinistri.

Articolo 4. Modalità di funzionamento

1. Il funzionamento della banca dati sinistri si articola nelle seguenti fasi ed attività:
a) ricevimento delle comunicazioni delle imprese;
b) svolgimento dei controlli di conformità tecnica;
c) registrazione dei dati;
d) accesso da parte dei soggetti autorizzati.
2. In relazione alla sola finalità di cui all'Articolo 2, la banca dati sinistri é organizzata anche in modo da consentire all'ISVAP, quale titolare del trattamento dei dati personali e sensibili registrati nella banca dati sinistri, lo svolgimento di elaborazioni statistiche, ricerche, studi ed analisi dei dati, nonché la loro eventuale comunicazione o diffusione soltanto in forma anonima ed aggregata tale da non rendere identificabili gli interessati.

Articolo 5. Comunicazioni delle imprese

1. Le comunicazioni sono effettuate dalle imprese secondo le modalità stabilite nel provvedimento n. 1764.

Articolo 6. Completezza delle comunicazioni

1. Le imprese adottano idonee procedure di controllo al fine di garantire l'esattezza, la completezza e l'aggiornamento dei dati raccolti e comunicati all'ISVAP.
2. Le imprese adottano altresi' idonee modalità per la rettificazione, l'integrazione, l'aggiornamento o la cancellazione dei dati, anche a seguito di richieste formulate dagli interessati ai sensi dell'Articolo 13 della legge 31 dicembre 1996, n. 675.
3. Le imprese danno tempestiva notizia all'ISVAP dell'esecuzione delle operazioni di cui al comma 2, anche per quanto riguarda il loro contenuto, al piu' tardi con la comunicazione immediatamente successiva a tali operazioni.
4. L'ISVAP, ricevuta dall'impresa la notizia della necessità di rettificare, integrare, aggiornare o cancellare i dati già comunicati, sospende la loro visibilità fino alla comunicazione di cui al comma 3.

Articolo 7. Controlli delle comunicazioni

1. Al ricevimento delle comunicazioni l'ISVAP effettua controlli di conformità tecnica.
2. Qualora la comunicazione risulti incompleta l'ISVAP ritrasmette i dati, in tutto o in parte, all'impresa trasmittente, affinché questa provveda ad una nuova comunicazione con le necessarie integrazioni o correzioni.
3. Nel caso di cui al comma 2, l'ISVAP applica le sanzioni stabilite dall'Articolo 2, comma 5.quinquies della legge.

Articolo 8. Registrazione dei dati

1. I dati sono registrati nella banca dati sinistri e resi disponibili ai soggetti autorizzati per cinque anni dalla data di liquidazione dei sinistri, secondo le modalità di accesso previste ai successivi capi.
2. I dati registrati non sono modificabili autonomamente dall'ISVAP. L'ISVAP, quale titolare del trattamento dei dati personali registrati nella banca dati sinistri, effettua eventuali operazioni di rettificazione, integrazione, aggiornamento o cancellazione dei dati soltanto su richiesta dell'impresa che li ha comunicati o d'intesa con essa anche a seguito di esercizio dei diritti da parte degli interessati, nonché in attuazione di provvedimenti dell'autorità giudiziaria o del Garante per la protezione dei dati personali.
3. Decorso il termine previsto al comma 1 i dati relativi ad ogni sinistro liquidato sono trasposti su altro supporto informatico ed eliminati dalla banca dati sinistri.
4. I dati trasposti su altri supporti sono trattati, con tecniche che non permettono di identificare anche indirettamente gli interessati, dall'ISVAP esclusivamente a scopi statistici per le finalità di cui all'Articolo 2, fatte salve le esigenze di giustizia penale e di esercizio dei diritti degli interessati. I dati non possono essere comunicati o diffusi, se non in forma aggregata con modalità che non permettano di identificare gli interessati ad alcun soggetto esterno.
5. Trascorsi ulteriori cinque anni dalla eliminazione dei dati dalla banca dati sinistri, i dati che permettono di identificare persone fisiche e giuridiche coinvolte a vario titolo nei sinistri, vengono cancellati affinché i restanti dati vengano conservati in forma anonima e non possano essere utilizzati al fine di identificare nuovamente gli interessati.

Articolo 9. Dati sensibili

1. Il presente provvedimento, nelle parti riguardanti i tipi di dati sensibili e di operazioni eseguibili in relazione agli stessi dati, é adottato anche in attuazione dell'Articolo 22, comma 3.bis, della legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni.
2. I dati sensibili sono trattati e conservati secondo le modalità stabilite dall'Articolo 3, commi 4 e 5, del decreto legislativo 11 maggio 1999, n. 135.

Articolo 10. Misure di sicurezza

1. L'ISVAP adotta le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire il corretto ed il regolare funzionamento della banca dati sinistri, nonché la riservatezza, la sicurezza e l'integrità dei dati in conformità alla normativa in materia di protezione dei dati personali.
2. Le imprese assumono adeguate misure al fine di assicurare la riservatezza, la sicurezza e l'integrità dei dati e delle comunicazioni in conformità alla normativa in materia di protezione dei dati personali, anche sulla base delle modalità tecniche stabilite con circolare dell'ISVAP, di cui al successivo Articolo 12, comma 1.

Capitolo II .Accesso dei soggetti autorizzati

Articolo 11. Accesso degli organi giudiziari e di polizia giudiziaria

1. L'accesso alla banca dati sinistri e il trattamento delle informazioni acquisite da parte degli organi giudiziari e di polizia giudiziaria é consentito per esclusive finalità di prevenzione, accertamento e repressione dei reati, con l'osservanza delle norme che regolano la materia.
2. Gli accessi alla banca dati sinistri sono registrati e memorizzati nel sistema informatico dell'ISVAP, con l'indicazione del soggetto autorizzato, della data e dell'ora dell'accesso, nonché dei dati consultati.
3. Le modalità tecniche di accesso alla banca dati sinistri da parte degli organi giudiziari e di polizia giudiziaria sono stabilite con specifiche convenzioni tra l'ISVAP e, rispettivamente, i Ministeri della giustizia e dell'interno, sentito il Garante per la protezione dei dati personali.
4. Fermo restando quanto stabilito nelle convenzioni di cui al comma 3, l'accesso alla banca dati sinistri é consentito esclusivamente per singole chiavi di ricerca, con conseguente consultazione dei dati solo sinistro per sinistro, originata dalla prima interrogazione della medesima banca dati. In ogni caso é resa tecnicamente impossibile l'acquisizione per via telematica di elenchi relativi a sinistri o persone.

Capitolo III . Accesso delle imprese di assicurazione

Articolo 12. Accesso da parte delle imprese

1. L'accesso alla banca dati sinistri da parte delle imprese avviene per via telematica sulla base di modalità tecniche stabilite con circolare dell'ISVAP.
2. L'accesso é esercitato, mediante i soggetti abilitati, con esclusivo riferimento ai dati strettamente necessari al perseguimento delle finalità indicate all'Articolo 2.
3. L'accesso alla banca dati sinistri e il trattamento delle informazioni acquisite da parte dei soggetti abilitati é consentito nei confronti di dati pertinenti e non eccedenti rispetto a specifiche esigenze derivanti da richieste o procedimenti di liquidazione di sinistri all'esame delle imprese, quando non siano sufficienti gli elementi già in loro possesso.
4. In relazione anche alla natura delle informazioni consultate, tali esigenze e circostanze devono comunque risultare dagli atti in possesso delle imprese, le quali adottano idonee misure di documentazione in relazione alla pertinenza dell'accesso effettuato rispetto alle finalità proprie della banca dati sinistri.
5. Fermo restando quanto stabilito nel presente provvedimento in ordine ai livelli di accesso dei soggetti abilitati, la consultazione della banca dati sinistri é consentita esclusivamente per singole chiavi di ricerca, con la conseguente visione dei dati solo sinistro per sinistro, originata dalla prima interrogazione della medesima banca dati. In ogni caso, é resa tecnicamente impossibile l'acquisizione per via telematica di elenchi relativi a sinistri o persone.

Articolo 13. Livelli di accesso dei soggetti abilitati

1. Sono previsti due livelli di accesso da parte dei soggetti abilitati:
a) accesso di primo livello ai dati indicati nell'allegato 1, relativi ai sinistri degli ultimi tre anni e con esclusione dei dati identificativi e sensibili delle persone coinvolte nei sinistri, riservato a soggetti abilitati preposti a strutture periferiche di liquidazione dei sinistri, i cui requisiti sono definiti con circolare dell'ISVAP di cui all'Articolo 12, comma l;
b) accesso di secondo livello ai dati indicati nell'allegato 2, con esclusione dei dati sensibili, riservato a soggetti abilitati preposti ad uffici di direzione del settore sinistri o ad unità istituite, anche in ambito associativo, per il contrasto alle frodi assicurative ed operanti su delega delle imprese. La delega puo' essere rilasciata, per gruppi di casi, con le cautele individuate nella predetta circolare. é consentita l'acquisizione di ulteriori dati, anche sensibili, solo a seguito di richiesta scritta motivata all'ISVAP.
2. Le imprese comunicano all'ISVAP gli estremi identificativi dei soggetti abilitati preposti all'accesso alla banca dati sinistri, con l'indicazione dei relativi requisiti.
3. I soggetti abilitati preposti dall'impresa sono autorizzati all'accesso secondo le modalità tecniche stabilite con la circolare di cui all'Articolo 12, comma 1.
4. Le imprese sono tenute a segnalare immediatamente all'ISVAP la perdita dei requisiti che legittimano l'accesso da parte di soggetti abilitati.

Articolo 14. Controllo degli accessi

1. Gli accessi alla banca dati sinistri sono registrati e memorizzati nel sistema informatico dell'ISVAP, con l'indicazione del soggetto abilitato, della data e dell'ora dell'accesso, nonché dei dati consultati.
2. L'ISVAP esegue controlli sugli accessi effettuati, anche attraverso verifiche periodiche o a campione, allo scopo di verificarne la regolarità e la correttezza, nonché il rispetto di quanto stabilito negli articoli 12 e 13.
3. In caso di accesso irregolare o difforme rispetto alle disposizioni del presente provvedimento o ad altre disposizioni applicabili, l'ISVAP contesta l'addebito e sospende o revoca, di regola, l'abilitazione del soggetto abilitato all'accesso.

Articolo 15. Riservatezza dei dati e responsabilità

1. Le persone che hanno accesso alle informazioni contenute nella banca dati sinistri sono tenute al rispetto dei doveri di segretezza e di riservatezza stabiliti dalla legge e dalla normativa in materia di protezione dei dati personali.
2. Salvi comunque gli obblighi e la responsabilità delle imprese, i soggetti abilitati, i responsabili e il personale delle strutture e degli uffici dai quali é effettuato l'accesso, sono obbligati a mantenere il segreto sugli elementi informativi acquisiti e sono personalmente responsabili per la violazione degli obblighi di riservatezza derivanti dal trattamento delle informazioni acquisite mediante accesso alla banca dati sinistri e dalla loro utilizzazione o divulgazione a terzi per finalità non consentite dalla legge o comunque estranee alla finalità per le quali la banca dati é stata istituita.
3. I direttori generali e gli analoghi organi di vertice delle imprese sono tenuti a vigilare sulla puntuale osservanza delle disposizioni di cui ai commi 1 e 2 o delle altre disposizioni applicabili, anche attraverso verifiche di idonei organismi di controllo delle stesse imprese.

Capitolo IV . Accesso di altri soggetti

Articolo 16. Accesso da parte degli interessati

1. Ai sensi dell'Articolo 13 della legge 31 dicembre 1996, n. 675 gli interessati possono esercitare presso l'ISVAP o presso le imprese i diritti di accesso ai dati personali contenuti nella banca dati sinistri.
2. In ogni caso, le operazioni di rettifica, aggiornamento, integrazione e cancellazione dei dati personali da effettuare in conseguenza dell'esercizio dei diritti indicati dall'Articolo 13 della citata legge n. 675/1996 sono disposte dall'ISVAP in conformità agli articoli 6, commi 3 e 4, e 8, comma 2, secondo periodo.

Articolo 17. Accesso di terzi

1. Ai sensi dell'Articolo 24, comma 4, della legge 7 agosto 1990, n. 241, e successive modificazioni ed integrazioni, le informazioni conservate nella banca dati sinistri sono sottratte al diritto di accesso da parte di soggetti diversi da quelli indicati dalla legge.

Capitolo V . Disposizioni finali

Articolo 18. Efficacia

1. Il presente provvedimento, relativamente alle procedure di accesso alla banca dati sinistri da parte delle imprese di assicurazione, entra in vigore il 15 aprile 2003.
2. Le imprese effettuano entro e non oltre il 31 ottobre 2003 l'attenta verifica e aggiornamento dei dati già trasmessi anteriormente al presente provvedimento, che sono registrati dall'ISVAP nella banca dati sinistri solo a seguito dell'operazione di verifica e di conferma o aggiornamento dell'impresa.
3. Le richieste di autorizzazione all'accesso alla banca dati sinistri potranno essere inoltrate dopo l'emanazione della circolare di istruzioni dell'ISVAP.

Articolo 19. Pubblicazione

1. Il presente provvedimento verrà pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Allegato 1

Informazioni disponibili per l'accesso di primo livello (effettuabile da preposti alle strutture periferiche delle imprese di assicurazione)
1) Sul sinistro, in generale:
a) data di accadimento;
b) luogo di accadimento;
c) provincia di accadimento;
d) intervento dell'autorità;
e) presenza di danni a persona;
f) stato del sinistro;
g) numero di veicoli coinvolti;
h) tipologia dei soggetti coinvolti;
i) modalità di trattazione;
j) contenzioso;
k) grado giudizio finale;
l) presenza di testimoni;
m) numero di persone coinvolte ed eventuali decessi.
2) Veicoli:
a) targa veicoli coinvolti;
b) categoria veicoli coinvolti;
c) ruolo nel sinistro;
d) parte danneggiatasi nel sinistro.

Allegato 2

Informazioni disponibili per l'accesso di secondo livello (riservato a preposti alle strutture di direzione del settore sinistri delle imprese di assicurazione e alle unità anti.frode)
1) Dati generali:
a) data di accadimento;
b) luogo di accadimento;
c) provincia di accadimento;
d) intervento dell'autorità;
e) presenza di danni a persona;
f) stato del sinistro;
g) numero di veicoli coinvolti;
h) tipologia dell'autorità eventualmente intervenuta;
i) modalità di trattazione;
j) importo complessivo del risarcimento eventualmente effettuato;
k) informazioni sul grado e la tipologia dell'eventuale contenzioso;
l) presenza di testimoni;
m) intervento di professionisti incaricati (periti, legali, medici).
2) Veicoli:
a) numero di targa;
b) marca, modello e categoria dei veicoli coinvolti;
c) numero di telaio;
d) impresa con cui risulta assicurato;
e) ruolo nel sinistro;
f) parte danneggiatasi nel sinistro;
g) numero di altri sinistri in cui la vettura risulta coinvolta;
h) autofficina di riparazione.
3) Conducente, contraente, proprietario dei veicoli coinvolti:
a) nominativo;
b) residenza;
c) numero di altri sinistri in cui il soggetto risulta coinvolto.
4) Persone danneggiate:
a) nominativo;
b) data di nascita;
c) luogo di nascita;
d) codice fiscale/partita iva;
e) nome e comune del pronto soccorso in cui sia avvenuto l'eventuale ricovero;
f) eventuale decesso del soggetto;
g) numero di altri sinistri in cui il soggetto risulta coinvolto.
5) Professionisti intervenuti nel sinistro:
a) nominativo;
b) luogo di nascita;
c) data di nascita.
6) Testimoni del sinistro:
a) nominativo;
b) luogo di nascita;
c) data di nascita.

Chapter 1.- General Provisions

§ 1. Purpose of Act

The purpose of this Act is to ensure that the public and every person has the opportunity to access information intended for public use, based on the principles of a democratic and social rule of law and an open society, and to create opportunities for the public to monitor the performance of public duties.

§ 2. Scope of application of Act

(1) This Act provides for:

(2) This Act does not apply:

(3) The provisions of the Administrative Procedure Act (RT I 2001, 58, 354; 2002, 53, 336; 61, 375; 2003, 20, 117) apply to administrative proceedings prescribed in this Act, taking account of the specifications provided for in this Act.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 3. Public information

(1) Public information (hereinafter information) is information which is recorded and documented in any manner and on any medium and which is obtained or created upon performance of public duties provided by law or legislation issued on the basis thereof.

(2) Access to information specified in subsection (1) of this section may be restricted pursuant to the procedure provided by law.

§ 4. Principles of granting access to public information

(1) In order to ensure democracy, to enable public interest to be met and to enable all persons to exercise their rights and freedoms and perform their obligations, holders of information are required to ensure access to the information in their possession under the conditions and pursuant to the procedure provided by law.

(2) Access to information shall be ensured for every person in the quickest and easiest manner possible.

(3) Upon granting access to information, the inviolability of the private life of persons shall be ensured.

(4) Access to information shall be granted without charge unless payment for the direct expenses relating to the release of the information is prescribed by law.

(5) Every person has the right to contest a restriction on access to information if such restriction violates the rights or freedoms of the person.

§ 5. Holders of information

(1) The following are holders of information:

(2) The obligations of holders of information extend to legal persons in private law and natural persons if the persons perform public duties pursuant to law, administrative legislation or contracts, including the provision of educational, health care, social or other public services, – with regard to information concerning the performance of their duties.

(3) The following are deemed to be equal to holders of information:

A request for information is a request to obtain information submitted, pursuant to the procedure provided for in this Act, to a holder of information by a person making a request for information.

§ 7. Person making request for information

Each person who submits a request for information to a holder of information pursuant to the procedure provided for in this Act is a person making a request for information.

§ 8. Access to information

(1) Access to information shall be granted by a holder of information by:

(2) Disclosure of information is the grant of access to information by a holder of information pursuant to the procedure provided by law, without a person being required to make a request for information.

Chapter 2.- Organisation of Access to Information

§ 9. Obligations of holders of information

(1) Holders of information are required to grant access to information in their possession pursuant to the procedure provided by law.

(2) Upon granting access to information, a holder of information is required:

(1) The head of a holder of information or a holder of information who is a natural person is responsible for the organisation, by the holder of information and pursuant to law, of access to information.

(2) A holder of information may, using an operations procedure or other documents, designate the structural units and officials or employees responsible for complying with requests for information and disclosing information, and the procedure for the internal processing of requests for information or of information subject to disclosure.

(3) If a holder of information does not establish the competence of officials or employees in complying with requests for information, each official or employee to whom a request for information is assigned for it to be complied with or to whom a request for information is submitted is responsible for complying with the request for information in a manner which meets the requirements.

(4) The head of a holder of information is responsible for the proper disclosure of information in a manner which meets the requirements unless organisation of the disclosure of information is assigned to another person by legislation.

§ 11. Document register of agency

The document register of an agency is a digital database which is maintained by a state or local government agency or a legal person in public law in order to register documents received by the agency and prepared in the agency and to ensure access thereto.

§ 12. Requirements for document registers

(1) The following shall be registered in a document register:

(2) Accounting documents shall not be entered in a document register.

(3) At least the following information concerning received and released documents shall be entered in a document register:

(4) The term arising from law for processing or responding, the name of the structural unit responsible for the preparation of a response or the organisation of processing and the name of the official or employee who prepares the response shall also be entered in a document register concerning received documents and documents which need to be processed or responded to.

(5) The registrars of document registers shall grant access to the document registers and shall create indexes and instructions in order to facilitate the finding of documents.

Chapter 3.- Grant of Access to Information on Basis of Requests for Information

Division 1.- Making Requests for Information and Acceptance of Requests for Information for Processing

§ 13. Manners of making requests for information

A person making a request for information shall make the request for information either:

(1) A request for information shall set out the following information orally or in writing:

(2) If a person requests information which contains sensitive or private personal data concerning him or her or third persons, the holder of information shall identify the person making the request for information.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(3) A holder of information has the right to request submission of a request for information in writing if the person making the request for information is not satisfied with the information provided orally.

(4) If a state or local government official or employee requests information to perform his or her functions or duties or if a person requests personal data concerning a third person, he or she shall inform the holder of information of the basis and purpose of accessing the information.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(5) A person making a request for information shall not request access to information for other purposes under the pretext of the performance of functions or duties or using his or her official position.

§ 15. Obligation of holders of information to assist persons making requests for information

(1) Holders of information are required to clearly explain the procedure for and the conditions and manners of access to information to persons making requests for information.

(2) Officials and employees of holders of information are required to assist persons making requests for information in every way during the making of requests for information and the identification of the information necessary for the persons making requests for information, the location of the information and the most suitable manners of access thereto.

(3) An official or employee of a holder of information who is not competent to comply with a request for information is required promptly to send the person making the request for information to an official or employee who has the corresponding competence, or promptly to communicate the request for information in writing to the specified official or employee.

(4) If a request for information does not indicate the manner or the information which the person making the request for information is requesting, the holder of information shall promptly contact the person making the request for information in order to specify the request for information.

§ 16. Registration of requests for information

(1) A holder of information shall register a request for information on the date of receipt thereof or not later than on the working day following receipt.

(2) Information specified in subsection 14 (1) of this Act which is submitted by a person making a request for information and information concerning an employee or structural unit responsible for complying with the request for information and the due date for complying with the request for information shall be entered in the document register of a holder of information provided for in § 11 of this Act.

(3) A request for information need not be registered if:

(1) A holder of information shall comply with a request for information in the manner requested by the person making the request for information and shall release the information:

(2) A holder of information may refuse to comply with a request for information in a desired manner if:

(3) At the request of a person making a request for information, a holder of information shall release copies of documents on paper if the type of medium and the details of the person making the request for information enable this and if the information has not been disclosed.

(4) At the request of a person making a request for information, a holder of information shall release information (including disclosed information) together with official confirmation if such confirmation is necessary in order to use the rights and freedoms and perform the obligations of the person making the request for information.

(5) Information shall be released orally only if:

(6) Upon compliance with a request for information orally, the person who complies with the request for information is not required to read documents aloud.

(7) In the cases provided for in subsection (2) of this section, a holder of information shall choose a suitable manner to comply with a request for information and shall, if possible, consult with the person making the request for information before complying with the request for information.

(8) If a request for information does not specify the manner for compliance requested by the person making the request for information and if it is not possible to specify the manner for compliance in consultation with the person making the request for information within the term prescribed for compliance with the request for information, the request for information shall be complied with on the basis of the details indicated therein in a manner chosen by the holder of information, and the holder of information shall, if possible, prefer the manner in which the request for information was made.

§ 18. Terms for compliance with requests for information and calculation of terms for processing

(1) A request for information shall be complied with promptly, but not later than within five working days.

(2) If a request for information cannot be complied with due to the insufficiency of the information submitted by the person making the request for information, the holder of information shall notify the person making the request for information thereof within five working days in order to specify the request for information.

(3) The terms for processing requests for information provided for in this Act shall be calculated as of the working day following registration of the requests for information.

§ 19. Extension of terms for compliance with requests for information

If a holder of information needs to specify a request for information or if identification of the information is time-consuming, the holder of information may extend the term for compliance with the request for information for up to fifteen working days. The holder of information shall notify the person making the request for information of extension of the term together with the reasons therefor within five working days.

§ 20. Deeming requests for information to have been complied with

A request for information is deemed to have been complied with by the holder of information who receives the request for information if:

(1) If a holder of information does not possess the requested information, the holder of information shall ascertain the competent holder of information and forward the request for information promptly thereto, but not later than within five working days, and shall notify the person making the request for information thereof at the same time.

(2) It is permitted to refuse to forward a request for information made by telephone if the person making the request for information is informed of to whom the person should turn with the request for information.

(3) A holder of information who is a legal person in private law or a natural person may refuse to forward a request for information and shall in this case notify the person making the request for information promptly thereof, but not later than within five working days.

§ 22. Directing to disclosed information

If requested information has been disclosed pursuant to the procedure provided for in this or any other Act, the holder of information may promptly, but not later than within five working days, notify the person making the request for information thereof without releasing the information and shall in this case provide the person making the request with information concerning the manner and place of access to the requested information, except in the case provided for in subsection 17 (4) of this Act.

§ 23. Refusal to comply with requests for information

(1) A holder of information shall refuse to comply with a request for information if:

(2) A holder of information may refuse to comply with a request for information if:

(3) On the bases provided for in subsections (1) or (2) of this section, the holder of information shall notify the person making the request for information of refusal to comply with the request for information within five working days.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375; 12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 24. Registration of compliance with requests for information and refusal to comply therewith

(1) Compliance with a request for information and refusal to comply therewith shall be registered in a document register, except in the cases specified in subsection 16 (3) of this Act.

(2) Upon compliance with a request for information or refusal to comply therewith, at least the following information shall be entered in a document register:

(1) A holder of information shall cover the expenses relating to compliance with requests for information unless otherwise prescribed by law.

(2) A person making a request for information shall pay up to 3 kroons per page for copies on paper starting from the twenty-first page, unless a state fee for the release of information is prescribed by law.

(3) Holders of information shall cover the expenses relating to compliance with requests for information made by state or local government agencies.

§ 26. Exemption from covering expenses

A holder of information may exempt a person making a request for information from covering expenses provided for in subsection 25 (2) of this Act if:

(1) A person making a request for information shall pay the holder of information before the information is released.

(2) If a state fee is prescribed for the release of information or documents, the person making a request for information shall pay the state fee pursuant to the procedure provided for in the State Fees Act (RT I 1997, 80, 1344; 2001, 55, 331; 56, 332; 64, 367; 65, 377; 85, 512; 88, 531; 91, 543; 93, 565; 2002, 1, 1; 9, 45; 13, 78; 79; 81; 18, 97; 23, 131; 24, 135; 27, 151; 153; 30, 178; 35, 214; 44, 281; 47, 297; 51, 316; 57, 358; 58, 361; 61, 375; 62, 377; 82, 477; 90, 519; 102, 599; 105, 610; 2003, 4, 20; 13, 68; 15, 84; 85; 20, 118; 21, 128; 23, 146; 25, 153; 154; 26, 156; 160) before the information is released.

(3) A holder of information is required to issue a receipt concerning the received amounts to the person making a request for information.

Chapter 4.- Disclosure of Information

Division 1.- Information Subject to Disclosure

§ 28. Obligation of holder of information to disclose information

(1) A holder of information is required to disclose the following existing information relating to the duties thereof:

(2) Upon the disclosure of information, the person who documents the disclosed information, the time the disclosed information is documented, the act (establishment, approval, registration or other official act) with which the disclosed information is documented, and the person from whom explanations concerning the disclosed information can be obtained shall be set out.

§ 29. Manners of disclosure of information

(1) Information specified in subsection 28 (1) of this Act shall be disclosed on a web site.

(2) In addition to a web site, information specified in subsection 28 (1) of this Act may be disclosed:

(1) A holder of information is required to disclose information in a manner which ensures that it reaches every person who needs the information as quickly as possible.

(2) If the manner of disclosure of information is prescribed by a specific Act or an international agreement, the manner provided for in the specific Act or international agreement shall be used upon the disclosure of the information and information shall also be disclosed on a web site if such obligation arises from § 31 of this Act.

(3) A holder of information is required to disclose promptly any information concerning danger which threatens the life, health or property of persons or the environment, and shall select the quickest and most suitable manner therefor in order to avert danger and alleviate the possible consequences.

(4) State and local government agencies are required to communicate information concerning events and facts and which is in their possession to the broadcast media and the printed press for disclosure if public interest can be anticipated.

Division 2.- Disclosure of Information in Public Data Communication Network

§ 31. Obligation to maintain web site

(1) The Chancellery of the Riigikogu², the Office of the President of the Republic, the Office of the Chancellor of Justice, the State Audit Office, courts, the General Staff of the Defence Forces, government agencies and legal persons in public law are required to maintain web sites for the disclosure of information.

(2) A city or rural municipality government shall organise the maintenance of a web site in order to provide details of the activities of the bodies and agencies of the city or rural municipality and to disclose information in the possession thereof. On the basis of a contract, city and rural municipality governments may organise the maintenance of a joint web site.

(3) The State Chancellery, ministries and county governments are required to take measures for the maintenance of web sites by state agencies administered by them.

§ 32. Requirements for maintenance of web sites by state and local government agencies

(1) An agency which maintains a web site shall:

(2) On its web site, a holder of information shall set out the date of disclosure of each document and when information on the web site is updated.

(3) It shall be possible to access directly the web sites of agencies administered by the State Chancellery, ministries or county governments from the web sites of the State Chancellery, ministries or county governments.

§ 33. Access to data communication network

Every person shall be afforded the opportunity to have free access to public information through the Internet in public libraries, pursuant to the procedure provided for in the Public Libraries Act (RT I 1998, 103, 1696; 2000, 92, 597).

Chapter 5.- Restricted Information

§ 34. Restricted information

(1) Restricted information is information to which access is restricted pursuant to the procedure established by law.

(2) Pursuant to this Act, the head of an agency may establish a restriction on access to information and classify information as information intended for internal use.

§ 35. Grounds for classification of information as internal

(1) A holder of information is required to classify the following as information intended for internal use:

(2) The head of a state or local government agency or a legal person in public law may classify the following as information intended for internal use:

(1) A holder of information who is a state or local government agency or a legal person in public law shall not classify the following as information intended for internal use:

(2) The prohibition provided for in subsection (1) of this section also applies to:

§ 37. (Repealed – 12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 38. Access to information classified as internal only

(1) A holder of information shall disclose information concerning facts which arouse public interest and which are related to an offence or accident before the final clarification of the circumstances of the offence or accident to an extent which does not hinder the investigation or supervision or clarification of the reasons for the accident. The competent official who organises the investigation or supervision or who clarifies the circumstances of the accident shall decide on the extent of disclosure of such information.

(2) If the grant of access to information may cause the disclosure of restricted information, it shall be ensured that only the part of the information or document to which restrictions on access do not apply may be accessed.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(3) State and local government officials have the right to access information which is classified as information intended for internal use in order to perform their duties. Such information shall not be communicated to third persons without the permission of the agency which establishes the restriction on access.

(4) The head of an agency may decide to grant access to information classified as internal to persons outside the agency if this does not damage the interests of the state or a local government.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 39. Access to information which contains personal data

(1) A holder of information shall grant access to personal data in its possession upon the existence of a basis provided for in the Personal Data Protection Act pursuant to the procedure provided for in this Act.

(2) A holder of information is required to maintain records concerning to whom, for what purpose, when, in which manner and which information classified as internal which contains personal data is released.

(3) In order to ascertain the truth in criminal proceedings and ensure the security of persons, a competent official conducting an investigation or state supervision may grant access to information classified as internal which contains personal data. If compliance with a restriction on access may endanger the life, health or property of other persons, the restricted information shall be promptly disclosed in a manner provided for in subsection 30 (4) of this Act.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 40. Terms of restrictions on access

(1) A restriction on access to information intended for internal use applies as of the preparation or receipt of the documents for as long as is necessary, but not for longer than five years. The head of an agency may extend the term by up to five years if the reason for establishment of the restriction on access continues to exist.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(2) A restriction on access to documents pertaining to state supervision, supervisory control and preparation of single decisions of executive power applies until adoption of a decision unless another reason to restrict access to the information exists.

(3) A restriction on access to information classified as internal which contains private personal data applies for 75 years as of the receipt or documentation thereof or for 30 years as of the death of the person or, if it is impossible to establish death, for 110 years as of the birth of the person.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 41. Procedure for classification of information as internal

(1) Information shall be classified as information intended for internal use by the head of the agency.

(2) The person who prepares a document classified as information intended for internal use shall make a notation “ASUTUSESISESEKS KASUTAMISEKS” [“FOR INTERNAL USE”] in capital letters on the document or file of documents, if the medium enables this, or use the corresponding abbreviation　AK. The name of the holder of information, the basis of the restriction on access, the final date for application of the restriction on access and the date on which the notation is made shall be added to the notation.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

§ 42. Invalidation of restriction on access

(1) A holder of information is required to invalidate a restriction on access if the reasons for establishment thereof cease to exist.

(2) If a restriction on access to a document is invalidated, a corresponding notation shall be made on the document.

§ 43. Protection of internal information

(1) A holder of information shall apply administrative and technical measures to ensure that information to which a restriction on access applies cannot be accessed by persons who do not have the right of access.

(2) If a restriction on access applies to a document prepared on a computer, the person who prepares the document shall verify that measures have been taken in the agency for the secure processing of data in order to restrict access.

Chapter 6.- Supervision

§ 44. Supervision over compliance with this Act

Within the limits of their competence, the following shall exercise supervision over compliance with this Act:

(1) The Data Protection Inspectorate shall exercise state supervision over holders of information during compliance with requests for information and the disclosure of information.

(2) The Data Protection Inspectorate may initiate supervision proceedings on the basis of a challenge or on its own initiative.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

(3) Upon the exercise of supervision, the Data Protection Inspectorate shall ascertain whether:

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

A person whose rights provided for in this Act are violated may file a challenge with a supervisory body specified in § 44 of this Act or an action with an administrative court either personally or through a representative.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 47. Filing of challenge for initiation of state supervision proceedings

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

(1) A person who applies for the commencement of state supervision by the Data Protection Inspectorate shall file a written challenge which shall set out the following information:

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(2) If, in the opinion of the person filing a challenge, the holder of information refused to comply with the request for information illegally or presented incorrect information, the person filing the challenge shall append a copy of the written refusal of the holder of information to comply with the request for information or the incorrect information presented by the holder of information to the challenge.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 48. (Repealed – 19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 49. (Repealed – 19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 50. Rights of Data Protection Inspectorate

(1) Competent officials of the Data Protection Inspectorate who exercise supervision have the right to:

(2) The Data Protection Inspectorate shall notify the person filing the challenge, the holder of information and the superior body or agency of the holder of information of the decision on the challenge. The supervision results shall be disclosed on the web site of the Data Protection Inspectorate.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 51. Precept of Data Protection Inspectorate

(1) The Data Protection Inspectorate may issue a precept which requires a holder of information to bring its activities into accordance with law if the Inspectorate finds that the holder of information:

(2) (Repealed – 19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 52. Compliance with precepts of Data Protection Inspectorate

(1) A holder of information shall, within five working days as of receipt of a precept, take measures to comply with the precept and shall notify the Data Protection Inspectorate thereof. The Data Protection Inspectorate shall publish the notice on its web site.

(2) (Repealed – 19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375)

§ 53. Application of Data Protection Inspectorate for organisation of supervisory control

(1) If a holder of information fails to comply with a precept of the Data Protection Inspectorate and does not contest it in an administrative court, the Data Protection Inspectorate shall initiate misdemeanour proceedings or the holder of information shall address a superior body or agency in order for supervisory control to be organised.

(19.06.2002 entered into force 01.09.2002 – RT I 2002, 63, 387)

(2) A body or agency exercising supervisory control is required to review an application within one month as of receipt thereof and notify the Data Protection Inspectorate of the results of supervisory control.

§ 54. Report of Data Protection Inspectorate on compliance with this Act

(1) The Data Protection Inspectorate shall submit a report on compliance with this Act to the Constitutional Committee of the Riigikogu and to the Chancellor of Justice by 1 December each year.

(2) The report shall contain an overview of offences, the holders of information which committed the offences, challenges, precepts, misdemeanour proceedings initiated, punishments imposed, and other circumstances relating to the implementation of this Act.

(19.06.2002 entered into force 01.08.2002 – RT I 2002, 61, 375; 19.06.2002 entered into force 01.09.2002 – RT I 2002, 63, 387)

(3) Reports shall be published on the web site of the Data Protection Inspectorate.

Chapter 6.- Liability

(19.06.2002 entered into force 01.09.2002 – RT I 2002, 63, 387)

§ 54. Violation of requirements for disclosure and release of public information

(1) Knowing release of incorrect public information or knowing disclosure or release of information intended for internal use or failure to comply with a precept of the Data Protection Inspectorate is punishable by a fine of up to 300 fine units.

(12.02.2003 entered into force 01.10.2003 – RT I 2003, 26, 158)

(2) The provisions of the General Part of the Penal Code (RT I 2001, 61, 364; 2002, 86, 504; 105, 612; 2003, 4, 22) and the Code of Misdemeanour Procedure (RT I 2002, 50, 313; 110, 654) apply to the misdemeanours provided for in this section.

(3) The Data Protection Inspectorate is the extra-judicial body which conducts proceedings in matters of misdemeanours provided for in this section.

(19.06.2002 entered into force 01.09.2002 – RT I 2002, 63, 387)

Chapter 7.- Implementing Provisions

§ 55. Access to public computer network in public libraries

The state and local governments shall ensure that there is the opportunity to access public information through the data communication network in public libraries by 2002.

§ 56. Commencement of maintenance of web site

(1) Ministers within their area of government, and the State Secretary and county governors with respect to state agencies administered thereby shall establish schedules by 1 June 2001 for the transition to web sites which comply with the requirements of this Act.

(2) Holders of information specified in § 31 of this Act shall create a web site which complies with the requirements of this Act by 1 March 2002 at the latest.

§ 57. Bringing of procedure for access to information maintained in state and local government databases into accordance with law

The Government of the Republic, ministries and local government bodies shall bring legislation regulating the maintenance of databases into accordance with this Act and with the amendments made to the Databases Act by this Act by 1 January 2002.

§ 58. Bringing of document management procedures into accordance with this Act

(1) The Government of the Republic shall establish the bases for the document management procedures of state and local government agencies and legal persons in public law by 1 March 2001.

(2) Holders of information shall bring their document management procedures into accordance with this Act by 1 June 2001.

§ 59. Amendment of Criminal Code

Section 167³　is added to the Criminal Code (RT 1992, 20, 288; RT I 1999, 38, 485; 57, 595, 597 and 598; 60, 616; 97, 859; 102, 907; 2000, 10, 55; 28, 167; 29, 173; 33, 193; 40, 247; 49, 301 and 305; 54, 351; 57, 373; 58, 376; 84, 533) worded as follows:

“§ 167³. Violation of requirements for disclosure and release of public information

The release of incorrect public information knowingly or the disclosure or release of information intended for internal use knowingly, if significant damage is thereby caused to the rights or interests of another person that are protected by law or to the public interest, is punishable by a fine or detention.”

§ 60. Amendment of Response to Petitions Act

The Response to Petitions Act (RT I 1994, 51, 857; 1996, 49, 953; 2000, 49, 304; 92, 597; 2001, 58, 354) is amended as follows:

The Personal Data Protection Act (RT I 1996, 48, 944; 1998, 59, 941; 111, 1833; 2000, 50, 317; 92, 597; 104, 685; 2001, 50, 283; 2002, 61, 375; 63, 387) is amended as follows:

The Databases Act (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155; 2000, 50, 317; 57, 373; 92, 597; 2001, 7, 17; 17, 77; 24, 133; 2002, 61, 375; 63, 387; 2003, 18, 107; 26, 158) is amended as follows:

1) section 21¹　is added to the Act worded as follows:

“§ 21¹. Access to information maintained in state and local government databases

(1) Every person has the right to obtain information from state and local government databases to which access is not restricted by law.

(2) At the request of a person, the authorised processor of a state or local government database is required to release information within five working days as of receipt of a corresponding request unless another term is provided by law.

(3) Information pertaining to data protection and the technical processing of data shall not be released from a state or local government database or with regard to a database. Only processors of information and the person exercising supervision over the maintenance of the database or an investigative body have the right to access such information.

(4) Access to data processed in a state or local government database shall be ensured pursuant to the procedure, in the manner, under the conditions and within the terms provided for in the Public Information Act unless a different procedure or manner or other conditions or terms are provided by law. Access to personal data shall be granted in accordance with the Personal Data Protection Act and the Public Information Act.

(5) Databases which contain information which is important for the public shall be accessible through the public data communication network. Databases or parts thereof which are to be disclosed in this manner shall be provided for in the Act or other legislation which is the basis for establishment of the databases.”;

2) clause 40 (1) 6), clause 44 (1) 8) and clause 47 (1) 6) are repealed.

§ 63. Amendment of State Fees Act

The State Fees Act (RT I 1997, 80, 1344; 2001, 55, 331; 56, 332; 64, 367; 65, 377; 85, 512; 88, 531; 91, 543; 93, 565; 2002, 1, 1; 9, 45; 13, 78; 79; 81; 18, 97; 23, 131; 24, 135; 27, 151; 153; 30, 178; 35, 214; 44, 281; 47, 297; 51, 316; 57, 358; 58, 361; 61, 375; 62, 377; 82, 477; 90, 519; 102, 599; 105, 610; 2003, 4, 20; 13, 68; 15, 84; 85; 20, 118; 21, 128; 23, 146; 25, 153; 154; 26, 156; 160) is amended as follows:

The Archives Act (RT I 1998, 36/37, 552; 1999, 16, 271; 2000, 92, 597; 2001, 88, 531; 93, 565; 2002, 53, 336; 61, 375; 63, 387; 82, 480) is amended as follows:

“(7) The head of an agency shall establish restrictions on access to records designated only for the internal use of the agency pursuant to the procedure provided for in the Public Information Act. Access to such information shall be granted pursuant to the procedure prescribed in the Public Information Act.”

§ 65. Amendment of Public Libraries Act

The Public Libraries Act (RT I 1998, 103, 1696; 2000, 92, 597) is amended as follows:

1) subsection 10 (3) is amended by adding clause 4) worded as follows:

“4) in order to establish connection with the public data communication network and acquire the appropriate technical means.”;

2) the words “and granting access to public information through the public data communication network.” are added to the first sentence of subsection 15 (2)”;

3) subsection (2¹) is added to § 15 worded as follows:

“(2¹) A person requesting information shall be given the opportunity to use a computer in order to access information available through the public data communication network, pursuant to the Public Information Act. If more persons than a library can service request access to information available through the public data communication network, the library is required to organise pre-registration for persons requesting access to information. The employees of a library are required to assist persons gain access to the web sites of state and local government agencies.”

§ 66. Amendment of Environmental Monitoring Act

Section 8 of the Environmental Monitoring Act (RT I 1999, 10, 154; 54, 583; 2000, 92, 597; 2002, 63, 387) is amended as follows:

1) subsection (1) is amended and worded as follows:

“(1) Data from environmental monitoring carried out on the basis of a state or local government monitoring programme or to the extent determined by a natural resources exploitation permit or a pollution permit shall be published in the form of generalised periodicals and to the extent determined by the Minister of the Environment on the web site of the Ministry of the Environment, except in the cases specified in subsection (2) of this section.”

2) subsection (6) is repealed.

§ 67. Amendment of Chancellor of Justice Act

Section 23¹　is added to the Chancellor of Justice Act (RT I 1999, 29, 406; 2000, 92, 597; 2001, 43, 240; 58, 353; 2002, 30, 176; 57, 357; 2003, 20, 119; 23, 142) worded as follows:

“23¹. Classification of petition as information intended for internal use

At the request of a petitioner or if the Chancellor of Justice finds that a restriction on access to the petition is necessary in order to protect the rights and freedoms of persons, the Chancellor of Justice shall classify the petition and information contained therein as information intended for internal use.”

§ 68. Amendment of Digital Signatures Act

Section 43 of the Digital Signatures Act (RT I 2000, 26, 150; 92, 597; 2001, 56, 338; 2002, 53, 336; 61, 375) is amended as follows:

1) subsection (2) is amended and worded as follows:

“(2) The Government of the Republic shall establish uniform bases for the document management procedures of state and local government agencies and legal persons in public law by 1 March 2001 and the bases shall also enable the use of digitally signed documents in the document management of the agencies.”

2) subsection (3) is amended by adding the words “and legal persons in public law” after the words “government agencies” and by substituting the words “of the agencies” by the word “thereof”.

§ 69. Entry into force of Act

This Act enters into force on 1 January 2001.

El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio, estableció en su disposición transitoria única los plazos de implantación de las medidas de seguridad para los sistemas de información que se encontraran en funcionamiento en el momento de entrada en vigor de dicho Reglamento.

El “efecto 2000” ha obligado a los responsables de los sistemas informáticos a realizar un considerable esfuerzo de adaptación de dichos sistemas, lo que ha supuesto una dificultad objetiva para poder implantar en el plazo previsto las medidas de seguridad de nivel básico exigidas por el Reglamento. Resulta necesario por todo ello establecer un nuevo plazo para la implantación de estas medidas.

En su virtud, a propuesta de la ministra de Justicia, previo informe de la Agencia de Protección de Datos, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 11 de febrero de 2000, dispongo:

Artículo único.

Los sistemas de información que se encontraran en funcionamiento a la entrada en vigor del Reglamento, aprobado por el Real Decreto 994/1999, de 11 de junio, deberán implantar las medidas de seguridad de nivel básico previstas por dicho Reglamento en un plazo que finalizará el día 26 de marzo de 2000.

Disposición adicional única.

Con efecto retroactivo, se considerará rehabilitado como plazo para la implantación de las medidas de seguridad de nivel básico, con la consiguiente exención de responsabilidad, el comprendido entre el momento de entrada en vigor del presente Real Decreto y el de conclusión del plazo fijado por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio

Disposición final única

El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el B.O.E.

DIRECTRICES
para la protección de las personas respecto a la recogida y tratamiento de datos  personales en las “autopistas de la información”.
(adoptada por el Comité de Ministros el 23 de febrero de 1999, durante la 660ª reunión de Delegados de Ministros)
 
 
Preámbulo
 
El Comité de Ministros, al amparo del artículo 15.b del Estatuto del Consejo de Europa;
 
Considerando que la finalidad del Consejo de Europa es realizar una unión más estrecha entre sus miembros;
 
Observando el desarrollo de las nuevas tecnologías y de los nuevos servicios de comunicación y de información en línea;
 
Teniendo en cuenta que dicho desarrollo influirá notablemente en el funcionamiento de la sociedad, en general, y de las relaciones entre personas naturales, en concreto ofreciendo mayores posibilidades de comunicación y de intercambio de información tanto a nivel nacional como internacional;
 
Considerando las ventajas que los usuarios de las nuevas tecnologías pueden obtener de dicho desarrollo;
 
Considerando, sin embargo, que el desarrollo de las tecnologías y la generalización de la recogida y del tratamiento de datos personales en las “autopistas de la información” suponen riesgos para la intimidad de las personas naturales;
 
Teniendo en cuenta que el desarrollo de las tecnologías también contribuye al respeto de los derechos y las libertades fundamentales, en concreto del derecho a la intimidad, durante el tratamiento de datos de carácter personal referentes a personas físicas;
 
Considerando la necesidad de desarrollar técnicas que garanticen el anonimato de las personas afectadas y la confidencialidad de la información intercambiada a través de las “autopistas de la información”, en el respeto de los derechos y libertades de los demás y de los valores de una sociedad democrática;
 
Considerando que las comunicaciones con ayuda de las nuevas tecnologías de la información están también sujetas al respeto de los derechos humanos y de las libertades fundamentales, en concreto al respeto de la intimidad y del secreto de la correspondencia, tal y como se garantizan en el artículo 8 de la Convención Europea de los Derechos Humanos.
 
Reconociendo que la recogida, el tratamiento, y, sobre todo, la comunicación de datos de carácter personal a través de las nuevas tecnologías de la información, en concreto de las “autopistas de la información”, están regidas por las disposiciones del Convenio para la protección de personas respecto al tratamiento automatizado de datos de carácter personal (Estrasburgo, 1981, Serie de Tratados Europeos número 108) y por las recomendaciones sectoriales relativas a la protección de datos, en concreto por la Recomendación nº R (90) 19 sobre la protección de datos personales utilizados con fines de cobro y otras operaciones relacionadas, la Recomendación nº R (91) 10 sobre la comunicación a terceros de datos personales poseídos por organismos públicos y la Recomendación nº R  (95) 4 sobre la protección de datos personales en el sector de los servicios de telecomunicaciones, referidos sobretodo a los servicios telefónicos;
 
Pensando que es conveniente sensibilizar a los usuarios y a los proveedores de servicios de Internet sobre la aplicación de las disposiciones generales del Convenio arriba indicado, respecto a la recogida y al tratamiento de datos de carácter personal en las “autopistas de la información”,
 
Recomienda a los Gobiernos de los Estados miembros que difundan ampliamente las directrices contenidas en el anexo de esta Recomendación, sobre todo entre los usuarios y los proveedores de servicios de Internet, así como entre cualquier autoridad nacional encargada de velar por el respeto de la normativa de protección de datos.
 
 
Anexo a la Recomendación nº R (99) 5 del Comité de Ministros de los Estados miembros sobre la protección de la intimidad en Internet Directrices para la protección de personas respecto a la recogida y al tratamiento de datos personales en las “autopistas de la información”, que pueden integrase o anexionarse a los códigos deontológicos
 
 
I. Introducción
 
Estas directrices enuncian los principios de una conducta honesta que los usuarios y los proveedores de servicios de Internet deben respetar en materia de protección de la intimidad. Estos principios pueden integrarse en códigos deontológicos.
 
Los usuarios deberían ser conscientes de la responsabilidad de los proveedores de servicios de Internet y viceversa. Por lo tanto, se aconseja a usuarios y proveedores de servicios de Internet que lean este texto íntegramente, aunque esté dividido en varias partes para que su uso sea más fácil. Usted puede estar afectado por una o por varias partes de este texto simultáneamente.
 
El uso de Internet supone una responsabilidad en cada acción e implica riesgos para la intimidad. Es importante comportarse de tal forma que uno se proteja y que se promuevan las buenas relaciones con los demás. Estas directrices enuncian algunas soluciones prácticas para la protección de la intimidad, pero no le dispensan de conocer sus derechos y obligaciones.
 
Recuerde que el respeto de la intimidad es un derecho fundamental de todo individuo que puede ser protegido por leyes sobre la protección de datos. Así pues, le conviene comprobar su situación jurídica.
 
 
II. Para los usuarios
 
1. Recuerde que Internet no es seguro. Sin embargo, existen y se desarrollan diferentes medios que le permiten mejorar la protección de sus datos. Así pues, utilice cualquier medio que esté a su alcance para proteger sus datos y sus comunicaciones, como la codificación legalmente disponible para el correo electrónico confidencial y los códigos de acceso a su propio PC.
 
2. Recuerde que cada transacción efectuada, cada visita a un sitio en Internet dejan rastros. Estos “rastros electrónicos” pueden utilizarse sin que usted lo sepa para establecer un perfil de su persona y sus intereses. Si usted no quiere que se le haga un perfil, le animamos a que utilice los dispositivos técnicos más avanzados que incluyen la posibilidad de ser informado cada vez que deja usted rastro y a rechazar dicho rastro. También puede usted solicitar que se le informe de las normas de conducta que tienen los diferentes programas y sitios en materia de protección de la intimidad y preferir aquéllos que registran pocos datos o cuyo  acceso es anónimo.
 
3. El acceso y el uso anónimos de los servicios y de los pagos constituyen la mejor protección de la intimidad. Infórmese de los medios técnicos que existen para recurrir al anonimato, si es posible.
 
4. El anonimato absoluto puede no ser posible debido a limitaciones legales. En tal caso, si la ley lo permite, puede usted utilizar un pseudónimo, de tal forma que su identidad verdadera no sea conocida por su proveedor de servicios de Internet.
 
5. Comunique únicamente  a su proveedor de servicios de Internet o a cualquier otra persona los datos necesarios para un fin concreto del que haya sido usted informado. Tenga mucho cuidado con las tarjetas de crédito y los números de cuenta, que pueden utilizarse con mucha facilidad (de forma abusiva) en Internet.
 
6. Recuerde que su dirección electrónica constituye un dato de carácter personal y que otras personas pueden querer utilizarla para diferentes fines, como incluirla en guías o en listas de usuarios. No dude en preguntar cuál es la finalidad de dichas guías o de los demás usos. Puede solicitar que su dirección se borre si no desea aparecer en dichas guías o listas.
 
7. Sea prudente respecto a sitios que solicitan más datos de los necesarios para acceder a ellos o para efectuar una transacción, o con los que no especifican para qué necesitan todos los datos que le conciernen.
 
8. Recuerde que es usted responsable jurídicamente del tratamiento de datos, por ejemplo, si usted carga o descarga ilícitamente y que, aunque haya usted utilizado un pseudónimo, se le puede identificar.
 
9. No envíe correo de mala fe, puede volverse contra usted y tener consecuencias jurídicas.
 
10. Su proveedor de servicios de Internet es responsable del buen uso de los datos. Pregúntele qué datos recoge, trata y conserva, de qué forma y con qué fines. Repítale esta pregunta de vez en cuando. Exíjale que los modifique si no son exactos o que los borre si son excesivos, si no están actualizados o si no son necesarios. Pida a su proveedor de servicios de Internet que notifique dicha modificación a las demás partes a las que haya comunicado sus datos.
 
11. Si no está usted satisfecho con la forma que tiene su proveedor de servicios de Internet actual de recoger, tratar, conservar o comunicar sus datos y si éste se niega a modificar su actitud, considere entonces cambiar de proveedor. Si cree usted que su proveedor de servicios de Internet no respeta las normas relativas a la protección de datos, puede usted informar de ello a las autoridades competentes o entablar una acción judicial.
 
12. Infórmese de los riesgos para al intimidad y la seguridad en Internet, así como de los medios disponibles para reducir dichos riesgos.
 
13. Si tiene la intención de enviar datos a otro país, debe ser consciente del hecho de que dichos datos pueden estar peor protegidos. Si se trata de sus propios datos, evidentemente es usted libre de enviarlos a pesar de todo. Sin embargo, antes de enviar a otro país datos referentes a otras personas, infórmese, por ejemplo ante sus autoridades, de la posibilidad de efectuar dicha transmisión. Si procede, debe pedir a la persona que recibe los datos que tome las medidas necesarias para garantizar la protección de los datos.
 
 
III: Para los proveedores de servicios de Internet.
 
1. Utilice los procedimientos adecuados y las tecnologías disponibles, preferentemente aquéllas que tienen un certificado que garantiza la intimidad de las personas afectadas (incluso si no son usuarios de Internet) y, en concreto, la integridad y la confidencialidad de los datos, así como la seguridad física y lógica de la red y de los servicios suministrados por ella.
 
2. Informe a los usuarios de los riesgos que el uso de Internet supone para la intimidad, antes de que se inscriban o de que empiecen a utilizar dichos servicios. Puede tratarse de riesgos referidos a la integridad de los datos, a su confidencialidad, a la seguridad de la red u otros riesgos relacionados con la intimidad, como la recogida o el registro de datos llevados a cabo sin que ellos lo sepan.
 
3. Informe a los usuarios de los medios técnicos que pueden utilizar legalmente para disminuir los riesgos referidos a la seguridad de los datos y las comunicaciones, como la codificación y las firmas electrónicas disponibles legalmente. Ofrezca dichos medios técnicos a un precio basado en los costes que no sea disuasivo.
 
4. Antes de aceptar abonados y de conectar usuarios a Internet, informe a estos últimos de los medios para acceder a ello, de utilizar los servicios y de pagarlos anónimamente (por ejemplo mediante tarjetas prepagadas). El anonimato absoluto puede no ser posible debido a limitaciones legales. En tal caso, si la ley lo permite, ofrezca la posibilidad de utilizar pseudónimos. Informe a los usuarios de la existencia de programas que permiten buscar y navegar anónimamente por Internet. Diseñe su sistema de tal forma que evite o reduzca al mínimo el uso de datos.
 
5. No lea, modifique o suprima mensajes enviados a otras personas.
 
6. No permita ninguna intrusión en el contenido de las comunicaciones, salvo si tal intrusión está prevista por la ley y efectuada por una autoridad pública.
 
7. Recoja, trate o conserve datos sobre usuarios únicamente si fuere necesario para fines explícitos, concretos y legales.
 
8. No comunique datos a terceros, salvo si dicha comunicación estuviere prevista por la ley
 
9. No conserve datos durante un periodo mayor del necesario para alcanzar el objetivo del tratamiento.
 
10. Utilice datos para promocionar o comercializar sus propios servicios únicamente si la persona, después de haber sido informada de ello, no ha puesto objeciones o si, en el caso de tratamiento de datos de tráfico o de datos personales, lo ha permitido explícitamente.
 
11. Es usted responsable del buen uso de los datos. En su página de bienvenida indique mediante una advertencia clara y visible su política respecto a la intimidad. Dicha indicación debería realizar, mediante un hipervínculo, la conexión con una explicación detallada sobre sus prácticas respecto a la intimidad. Antes de que el usuario empiece a utilizar sus servicios, cuando visitare su sitio y cada vez que lo pregunte, infórmele de su identidad, de los datos que recoge, trata y conserva, de qué forma lo hace, para qué fines y durante cuánto tiempo los conserva. Si fuere necesario, pídale su autorización. A petición de la persona afectada, rectifique sin demora los datos erróneos, bórrelos si fueren excesivos, si no estuvieren actualizados o si ya no fueren necesarios y detenga el tratamiento de datos si el usuario se opusiere. Notifique a los terceros a quienes hubiere comunicado los datos cualquier modificación. Evite cualquier recogida de datos efectuada sin que lo sepa el interesado.
 
12. La información suministrada al usuario debe ser exacta y estar actualizada.
 
13. ¡Píenselo dos veces antes de publicar datos en su sitio! Dicha publicación podría atentar contra la intimidad de otras personas y, por ello, estar prohibida por la ley.
 
14. Antes de enviar datos con destino a otro país, infórmese, por ejemplo ante sus autoridades, de la posibilidad de efectuar dicha transmisión. Si procede, debe usted pedir a la persona que recibe los datos que tome las medidas necesarias para garantizar la protección de los datos.
 
 
IV Aclaraciones y recursos
 
1. Cuando en el texto se utilizan los términos “proveedor” o “prestatario del servicio” se aplican también, si procede, a los demás participantes en Internet, tales como los proveedores de acceso, de contenido, de red, los diseñadores de programas de navegación, los coordinadores de foros o de “kioscos de información”, etc.
 
2. Es importante que se asegure que se respetan sus derechos. Los mecanismos de “feedback” ofrecidos por los foros de Internet, las asociaciones de proveedores de servicios, las autoridades de protección de datos u otras instancias, son medios fundamentales para garantizar el respeto de estas directrices. Póngase en contacto con ellos si necesitare aclaraciones o presentar una reclamación.
 
3. Las presentes directrices se aplican a cualquier tipo de “autopista de la información”.

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, en ejercicio de la facultad que me confiere el artículo 89, fracción I de la Constitución Política de los Estados Unidos　Mexicanos, con fundamento en los artículos 34 de la Ley Orgánica de la Administración Pública Federal y 3, fracción X, 18, último párrafo, 45, último párrafo, 46, segundo párrafo, 54, último párrafo, 60, último párrafo y 62, último párrafo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, he tenido a bien expedir el siguiente

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS　PERSONALES EN POSESIÓN DE LOS PARTICULARES

Capítulo I.- Disposiciones Generales

Objeto

Artículo 1.– El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de　Protección de Datos Personales en Posesión de los Particulares.

Definiciones

Artículo 2.– Además de las definiciones establecidas en el artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para los efectos del presente Reglamento se entenderá　por:

I.　Dependencias: Las señaladas en el artículo 26 de la Ley Orgánica de la Administración Pública Federal;

II.　Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y oposición;

III.　Entorno digital: Es el ámbito conformado por la conjunción de hardware, software, redes, aplicaciones, servicios o cualquier otra tecnología de la sociedad de la información que permiten el intercambio o　procesamiento informatizado o digitalizado de datos;

IV.　Listado de exclusión: Base de datos que tiene por objeto registrar de manera gratuita la negativa del titular al tratamiento de sus datos personales;

V.　Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la　información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;

VI.　Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

a)　Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;

b)　Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;

c)　Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y

d)　Garantizar la eliminación de datos de forma segura;

VII.　Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:

a)　El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;

b)　El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

c)　Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y

d)　Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;

VIII.　Persona física identificable: Toda persona física cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información. No se considera persona física identificable cuando para lograr la identidad de ésta se requieran plazos o actividades desproporcionadas;

IX.　Remisión: La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano;

X.　Soporte electrónico: Medio de almacenamiento al que se pueda acceder sólo mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los datos　personales, incluidos los microfilms;

XI.　Soporte físico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningún aparato que procese su contenido para examinar, modificar o almacenar los datos personales, y

XII.　Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.

Ámbito objetivo de aplicación

Artículo 3.– El presente Reglamento será de aplicación al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios　determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

No se aplicarán las disposiciones del presente Reglamento cuando para acceder a los datos personales, se requieran plazos o actividades desproporcionadas.

En términos del artículo 3, fracción V de la Ley, los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física　identificada o persona física identificable.

Ámbito territorial de aplicación

Artículo 4.– El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando:

I.　Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;

II.　Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano;

III.　El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y

IV.　El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para　efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás disposiciones aplicables,　derivado del tratamiento de datos personales. Para ello, podrá designar un representante o implementar el mecanismo que considere pertinente, siempre que a través del mismo se garantice que el responsable estará en posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obligaciones que la normativa aplicable imponen a aquellas personas físicas o morales que tratan datos personales en México.

Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento.

En el caso de personas físicas, el establecimiento se entenderá como el local en donde se encuentre el principal asiento de sus negocios o el que utilicen para el desempeño de sus actividades o su casa habitación.

Tratándose de personas morales, el establecimiento se entenderá como el local en donde se encuentre la administración principal del negocio; si se trata de personas morales residentes en el extranjero, el local en donde se encuentre la administración principal del negocio en territorio mexicano, o en su defecto el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.

Información de personas físicas con actividad comercial y datos de representación y contacto

Artículo 5.– Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:

I.　La relativa a personas morales;

II.　Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas, y

III.　La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las　funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de　representación del empleador o contratista.

Tratamiento derivado de una relación jurídica

Artículo 6.– Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica, no se considerará para uso exclusivamente personal.

Fuentes de acceso público

Artículo 7.– Para los efectos del artículo 3, fracción X de la Ley, se consideran fuentes de acceso público:

I.　Los medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté　abierto a la consulta general;

II.　Los directorios telefónicos en términos de la normativa específica;

III.　Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa, y

IV.　Los medios de comunicación social.

Para que los supuestos enumerados en el presente artículo sean considerados fuentes de acceso público será necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una contraprestación, derecho o tarifa.

No se considerará una fuente de acceso público cuando la información contenida en la misma sea o tenga una procedencia ilícita.

El tratamiento de datos personales obtenidos a través de fuentes de acceso público, respetará la expectativa razonable de privacidad, a que se refiere el tercer párrafo del artículo 7 de la Ley.

Grupos sin personalidad jurídica

Artículo 8.– Las personas integrantes de un grupo que actúe sin personalidad jurídica y que trate datos personales para finalidades específicas o propias del grupo se considerarán también responsables o encargados, según sea el caso.

Capítulo II.- De los Principios de Protección de Datos Personales

Sección I.- Principios

Principios de Protección de Datos

Artículo 9.– De acuerdo con lo previsto en el artículo 6 de la Ley, los responsables deben cumplir con los siguientes principios rectores de la protección de datos personales:

I.　Licitud;

II.　Consentimiento;

III.　Información;

IV.　Calidad;

V.　Finalidad;

VI.　Lealtad;

VII.　Proporcionalidad, y

VIII.　Responsabilidad.

Asimismo, el responsable deberá observar los deberes de seguridad y confidencialidad a que se refieren los artículos 19 y 21 de la Ley.

Principio de licitud

Artículo 10.– El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.

Principio de consentimiento

Artículo 11.– El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del　consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.

Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento deberá ser previo al tratamiento.

Características del consentimiento

Artículo 12.– La obtención del consentimiento tácito o expreso deberá ser:

I.　Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;

II.　Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, y

III.　Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.

El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.

Consentimiento tácito

Artículo 13.- Salvo que la Ley exija el consentimiento expreso del titular, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en los artículos 11 y 12 del presente Reglamento.

Solicitud del consentimiento tácito

Artículo 14.– Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso de privacidad, el cual debe contener un　mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.

En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable deberá poner a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales. Cuando el aviso de privacidad no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.

Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.

Consentimiento expreso

Artículo 15.– El responsable deberá obtener el consentimiento expreso del titular cuando:

I.　Lo exija una ley o reglamento;

II.　Se trate de datos financieros o patrimoniales;

III.　Se trate de datos sensibles;

IV.　Lo solicite el responsable para acreditar el mismo, o

V.　Lo acuerden así el titular y el responsable.

Solicitud del consentimiento expreso

Artículo 16.– Cuando el consentimiento expreso sea exigido en términos de una disposición legal o reglamentaria, el responsable deberá facilitar al titular un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.

Excepciones al principio del consentimiento

Artículo 17.– En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.

No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. En ese caso, para la obtención del consentimiento tácito, el responsable deberá observar lo dispuesto en los artículos 8, tercer párrafo de la Ley y 11, 12 y 13 del presente Reglamento, y tratándose de datos sensibles, financieros y patrimoniales, deberá obtener el consentimiento expreso, o bien, expreso y por escrito, según lo exija la Ley.

Consentimiento verbal

Artículo 18.– Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

Consentimiento escrito

Artículo 19.- Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normativa aplicable. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.

Prueba para demostrar la obtención del consentimiento

Artículo 20.– Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable.

Revocación del consentimiento

Artículo 21.– En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal.

Los mecanismos o procedimientos que el responsable establezca para atender las solicitudes de revocación del consentimiento no podrán exceder los plazos previstos en el artículo 32 de la Ley.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable deberá responder expresamente a dicha solicitud.

En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.

Procedimiento ante la negativa al cese en el tratamiento

Artículo 22.– En caso de negativa por parte del responsable al cese en el tratamiento ante la revocación del consentimiento, el titular podrá presentar ante el Instituto la denuncia correspondiente a que refiere el　Capítulo IX del presente Reglamento.

Principio de información

Artículo 23.– El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.

Características del aviso de privacidad

Artículo 24.– El aviso de privacidad deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.

Medios de difusión

Artículo 25.– Para la difusión de los avisos de privacidad, el responsable podrá valerse de formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber　de informar al titular.

Elementos del aviso de privacidad

Artículo 26.– El aviso de privacidad deberá contener los elementos a que se refieren los artículos 8, 15, 16, 33 y 36 de la Ley, así como los que se establezcan en los lineamientos a que se refiere el artículo 43, fracción　III de la Ley.

Aviso de privacidad para la obtención directa de los datos personales

Artículo 27.– En términos del artículo 17, fracción II de la Ley, cuando los datos personales sean obtenidos directamente del titular, el responsable deberá proporcionar de manera inmediata al menos la siguiente　información:

I.　La identidad y domicilio del responsable;

II.　Las finalidades del tratamiento, y

III.　Los mecanismos que el responsable ofrece para que el titular conozca el aviso de privacidad de conformidad con el artículo 26 del presente Reglamento.

La divulgación inmediata de la información antes señalada no exime al responsable de la obligación de proveer los mecanismos para que el titular conozca el contenido del aviso de privacidad, de conformidad con el artículo 26 del presente Reglamento.

Aviso de privacidad en formatos con espacio limitado

Artículo 28.– El responsable podrá poner a disposición del titular el aviso de privacidad en términos del artículo anterior, cuando obtenga los datos personales por medios impresos, siempre que el espacio utilizado　para la obtención de los datos personales sea mínimo y limitado, de forma tal que los datos personales obtenidos también sean mínimos.

Aviso de privacidad para obtención indirecta de datos personales

Artículo 29.– Cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del aviso de privacidad:

I.　Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, el aviso de privacidad se deberá dar a conocer en el　primer contacto que se tenga con el titular, o

II.　Cuando el responsable pretenda utilizar los datos para una finalidad distinta a la consentida, es decir, vaya a tener lugar un cambio de finalidad, el aviso de privacidad deberá darse a conocer previo el　aprovechamiento de los mismos.

Tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial

Artículo 30.– Entre las finalidades del tratamiento a las que refiere la fracción II del artículo 16 de la Ley, en su caso, se deberán incluir las relativas al tratamiento para fines mercadotécnicos, publicitarios o de　prospección comercial.

Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes que regulen el tratamiento para los fines señalados en el párrafo anterior, cuando éstas contemplen una protección mayor para el titular que la　dispuesta en la Ley y el presente Reglamento.

Prueba del aviso de privacidad

Artículo 31. Para efectos de demostrar la puesta a disposición del aviso de privacidad en cumplimiento del principio de información, la carga de la prueba recaerá, en todos los casos, en el responsable.

Medidas compensatorias

Artículo 32.– En términos del tercer párrafo del artículo 18 de la Ley, cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de　titulares o a la antigüedad de los datos, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios generales expedidos por el Instituto, mismos que serán　publicados en el Diario Oficial de la Federación, bajo los cuales podrán utilizarse los medios que se establecen en el artículo 35 del presente Reglamento.

Los casos que no actualicen los criterios generales emitidos por el Instituto requerirán la autorización expresa de éste, previo a la instrumentación de la medida compensatoria, de conformidad con el procedimiento establecido en los artículos 33 y 34 del presente Reglamento.

Solicitud para autorización de medidas compensatorias

Artículo 33.– El procedimiento para que el Instituto autorice el uso de medidas compensatorias de comunicación masiva, al que refiere el segundo párrafo del artículo anterior, iniciará siempre a petición del　responsable.

El responsable presentará su solicitud directamente ante el Instituto o a través de cualquier otro medio que éste haya habilitado para tal efecto. La solicitud deberá contener la siguiente información:

I.　Nombre, denominación o razón social del responsable que la promueva y, en su caso, de su representante, así como copia de la identificación oficial que acredite su personalidad y original para su cotejo. En el caso del representante, se deberá presentar copia del documento que acredite la representación del responsable y original para su cotejo;

II.　Domicilio para oír y recibir notificaciones, y nombre de la persona autorizada para recibirlas;

III.　Tratamiento al que pretende aplicar la medida compensatoria y sus características principales, tales como finalidad; tipo de datos personales tratados; si se efectúan transferencias; particularidades de los titulares, entre ellas edad, ubicación geográfica, nivel educativo y socioeconómico, entre otros;

IV.　Causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad a los titulares o el esfuerzo desproporcionado que esto exige. El responsable deberá informar sobre el número de titulares　afectados, antigüedad de los datos, si existe o no contacto directo con los titulares, y su capacidad económica;

V.　Tipo de medida compensatoria que pretende aplicar y por qué periodo la publicaría;

VI.　Texto propuesto para la medida compensatoria, y

VII.　Documentos que el responsable considere necesarios presentar ante el Instituto.

Procedimiento para la autorización de medidas compensatorias

Artículo 34.– El Instituto tendrá un plazo de diez días siguientes a la recepción de la solicitud de medida compensatoria, para emitir la resolución correspondiente.

Si el Instituto no resuelve en el plazo establecido, la solicitud de medida compensatoria se entenderá como autorizada.

Una vez presentada la solicitud por el responsable ante el Instituto, éste valorará los esfuerzos desproporcionados para dar a conocer el aviso de privacidad, tomando en cuenta lo siguiente:

I.　El número de titulares;

II.　La antigüedad de los datos;

III.　La capacidad económica del responsable;

IV.　El ámbito territorial y sectorial de operación del responsable, y

V.　La medida compensatoria a utilizar.

En caso de que el Instituto en su valoración considere que la medida compensatoria propuesta no cumple con el principio de información, podrá proponer al responsable la adopción de alguna medida compensatoria　alterna a la propuesta por el responsable en su solicitud.

La propuesta del Instituto se hará del conocimiento del responsable, a fin de que éste exponga lo que a su derecho convenga en un plazo no mayor a cinco días, contados a partir del día siguiente en que haya recibido la notificación.

Si el responsable no responde en el plazo que señala el párrafo anterior, el Instituto resolverá con los elementos que consten en el expediente.

Cuando el Instituto determine que el responsable no justificó la imposibilidad de dar a conocer el aviso de privacidad al titular o que ello exige esfuerzos desproporcionados, no será autorizado el uso de medidas　compensatorias.

La autorización que en su caso otorgue el Instituto estará vigente mientras no se modifiquen las circunstancias bajo las cuales se autorizó la medida compensatoria.

Modalidades de medidas compensatorias

Artículo 35.– Las medidas compensatorias de comunicación masiva deberán contener la información prevista en el artículo 27 del presente Reglamento y se darán a conocer a través de avisos de privacidad que se publicarán en cualquiera de los medios siguientes:

I.　Diarios de circulación nacional;

II.　Diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad;

III.　Página de Internet del responsable;

IV.　Hiperenlaces o hipervínculos situados en una página de Internet del Instituto, habilitados para dicho fin, cuando el responsable no cuente con una página de Internet propia;

V.　Carteles informativos;

VI.　Difusión en cápsulas informativas en radiodifusoras, o

VII.　Otros medios alternos de comunicación masiva.

Principio de calidad

Artículo 36.- Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la　cual son tratados.

Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, el responsable cuente con evidencia objetiva que los contradiga.

Cuando los datos personales no fueron obtenidos directamente del titular, el responsable deberá adoptar medidas razonables para que éstos respondan al principio de calidad, de acuerdo con el tipo de datos　personales y las condiciones del tratamiento.

El responsable deberá adoptar los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situación.

Plazos de conservación de los datos personales

Artículo 37.– Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y deberán atender las　disposiciones aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del　tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, el responsable deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión.

Procedimientos para conservación, bloqueo y supresión de los datos personales

Artículo 38.– El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales, que incluyan los periodos de conservación de los mismos, de conformidad con el artículo anterior.

Prueba del cumplimiento de los plazos de conservación

Artículo 39.– Al responsable le corresponde demostrar que los datos personales se conservan o, en su caso, bloquean, suprimen o cancelan cumpliendo los plazos previstos en el artículo 37 del presente Reglamento, o bien, en atención a una solicitud de derecho de cancelación.

Principio de finalidad

Artículo 40.– Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley.

Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se　especifica para qué objeto serán tratados los datos personales.

Diferenciación de finalidades

Artículo 41.– El responsable identificará y distinguirá en el aviso de privacidad entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

Oposición del tratamiento para finalidades distintas

Artículo 42.– El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la　relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.

Tratamiento para finalidades distintas

Artículo 43.– El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el aviso de privacidad, a menos que:

I.　Lo permita de forma explícita una ley o reglamento, o

II.　El responsable haya obtenido el consentimiento para el nuevo tratamiento.

Principio de lealtad

Artículo 44.– El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.

No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Existe una actuación fraudulenta o engañosa cuando:

I.　Exista dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento;

II.　Se vulnere la expectativa razonable de privacidad del titular a la que refiere el artículo 7 de la Ley, o

III.　Las finalidades no son las informadas en el aviso de privacidad.

Principio de proporcionalidad

Artículo 45.– Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.

Criterio de minimización

Artículo 46.– El responsable deberá realizar esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.

Principio de responsabilidad

Artículo 47.– En términos de los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por　aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.

Para cumplir con esta obligación, el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.

Medidas para el principio de responsabilidad

Artículo 48.– En términos del artículo 14 de la Ley, el responsable deberá adoptar medidas para garantizar el debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad.

Entre las medidas que podrá adoptar el responsable se encuentran por lo menos las siguientes:

I.　Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización del responsable;

II.　Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;

III.　Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad;

IV.　Destinar recursos para la instrumentación de los programas y políticas de privacidad;

V.　Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para　mitigarlos;

VI.　Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran;

VII.　Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales;

VIII.　Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento;

IX.　Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y　obligaciones que establece la Ley y el presente Reglamento, o

X.　Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.

Figura del encargado

Artículo 49.– El encargado es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como　consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su　actuación para la prestación de un servicio.

Obligaciones del encargado

Artículo 50.– El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable:

I.　Tratar únicamente los datos personales conforme a las instrucciones del responsable;

II.　Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

III.　Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables;

IV.　Guardar confidencialidad respecto de los datos personales tratados;

V.　Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la　conservación de los datos personales, y

VI.　Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente.

Los acuerdos entre el responsable y el encargado relacionados con el tratamiento deberán estar acordes con el aviso de privacidad correspondiente.

Relación entre el responsable y el encargado

Artículo 51.– La relación entre el responsable y el encargado deberá estar establecida mediante cláusulas contractuales u otro instrumento jurídico que decida el responsable, que permita acreditar su existencia, alcance y contenido.

Tratamiento de datos personales en el denominado cómputo en la nube

Artículo 52.– Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o　cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:

I.　Cumpla, al menos, con lo siguiente:

a)　Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;

b)　Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;

c)　Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y

d)　Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y

II.　Cuente con mecanismos, al menos, para:

a)　Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;

b)　Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;

c)　Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;

d)　Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y

e)　Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al　responsable.

En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales.

Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente.

Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube.

Remisiones de datos personales

Artículo 53.– Las remisiones nacionales e internacionales de datos personales entre un responsable y un encargado no requerirán ser informadas al titular ni contar con su consentimiento.

El encargado, será considerado responsable con las obligaciones propias de éste, cuando:

I.　Destine o utilice los datos personales con una finalidad distinta a la autorizada por el responsable, o

II.　Efectúe una transferencia, incumpliendo las instrucciones del responsable.

El encargado no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, remita los datos personales a otro encargado designado por este último, al que hubiera encomendado la prestación de un servicio, o transfiera los datos personales a otro responsable conforme a lo previsto en el presente　Reglamento.

Subcontratación de servicios

Artículo 54.– Toda subcontratación de servicios por parte del encargado que implique el tratamiento de datos personales deberá ser autorizada por el responsable, y se realizará en nombre y por cuenta de este último.

Una vez obtenida la autorización, el encargado deberá formalizar la relación con el subcontratado a través de cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido.

La persona física o moral subcontratada asumirá las mismas obligaciones que se establezcan para el encargado en la Ley, el presente Reglamento y demás disposiciones aplicables.

La obligación de acreditar que la subcontratación se realizó con autorización del responsable corresponderá al encargado.

Autorización de la subcontratación

Artículo 55.– Cuando las cláusulas contractuales o los instrumentos jurídicos mediante los cuales se haya formalizado la relación entre el responsable y el encargado, prevean que este último pueda llevar a cabo a su　vez las subcontrataciones de servicios, la autorización a la que refiere el artículo anterior se entenderá como otorgada a través de lo estipulado en éstos.

En caso de que la subcontratación no haya sido prevista en las cláusulas contractuales o en los instrumentos jurídicos a los que refiere el párrafo anterior, el encargado deberá obtener la autorización correspondiente del responsable previo a la subcontratación.

En ambos casos, se deberá observar lo previsto en el artículo anterior.

Sección II.- De los Datos Personales Sensibles

Supuestos para la creación de bases de datos personales sensibles

Artículo 56.– En términos de lo previsto en el artículo 9, segundo párrafo de la Ley, sólo podrán crearse bases de datos que contengan datos personales sensibles cuando:

I.　Obedezca a un mandato legal;

II.　Se justifique en términos del artículo 4 de la Ley, o

III.　El responsable lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.

Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales

Alcance

Artículo 57.– El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales.

Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor　para el titular que la dispuesta en la Ley y el presente Reglamento.

Atenuación de sanciones

Artículo 58.– En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el　cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.

Funciones de seguridad

Artículo 59.– Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable podrá desarrollar las funciones de seguridad por sí mismo, o bien, contratar a una persona física o moral para tal fin.

Factores para determinar las medidas de seguridad

Artículo 60.– El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:

I.　El riesgo inherente por tipo de dato personal;

II.　La sensibilidad de los datos personales tratados;

III.　El desarrollo tecnológico, y

IV.　Las posibles consecuencias de una vulneración para los titulares.

De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos:

I.　El número de titulares;

II.　Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;

III.　El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y

IV.　Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable.

Acciones para la seguridad de los datos personales

Artículo 61.– A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones:

I.　Elaborar un inventario de datos personales y de los sistemas de tratamiento;

II.　Determinar las funciones y obligaciones de las personas que traten datos personales;

III.　Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;

IV.　Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;

V.　Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

VI.　Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;

VII.　Llevar a cabo revisiones o auditorías;

VIII.　Capacitar al personal que efectúe el tratamiento, y

IX.　Realizar un registro de los medios de almacenamiento de los datos personales.

El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.

Actualizaciones de las medidas de seguridad

Artículo 62.– Los responsables deberán actualizar la relación de las medidas de seguridad, cuando ocurran los siguientes eventos:

I.　Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;

II.　Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;

III.　Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento, o

IV.　Exista una afectación a los datos personales distinta a las anteriores.

En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año.

Vulneraciones de seguridad

Artículo 63.– Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:

I.　La pérdida o destrucción no autorizada;

II.　El robo, extravío o copia no autorizada;

III.　El uso, acceso o tratamiento no autorizado, o

IV.　El daño, la alteración o modificación no autorizada.

Notificación de vulneraciones de seguridad

Artículo 64.– El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las　acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.

Información mínima al titular en caso de vulneraciones de seguridad

Artículo 65.– El responsable deberá informar al titular al menos lo siguiente:

I.　La naturaleza del incidente;

II.　Los datos personales comprometidos;

III.　Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;

IV.　Las acciones correctivas realizadas de forma inmediata, y

V.　Los medios donde puede obtener más información al respecto.

Medidas correctivas en caso de vulneraciones de seguridad

Artículo 66.– En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

Capítulo IV.- De las Transferencias de Datos Personales

Sección I.- Disposiciones Generales

Alcance

Artículo 67.– La transferencia implica la comunicación de datos personales dentro o fuera del territorio nacional, realizada a persona distinta del titular, del responsable o del encargado.

Condiciones para la transferencia

Artículo 68.– Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en el artículo 37 de la Ley; deberá ser　informada a este último mediante el aviso de privacidad y limitarse a la finalidad que la justifique.

Prueba del cumplimiento de las obligaciones en materia de transferencias

Artículo 69.– Para efectos de demostrar que la transferencia, sea ésta nacional o internacional, se realizó conforme a lo que establece la Ley y el presente Reglamento la carga de la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor de los datos personales.

Transferencias dentro del mismo grupo del responsable

Artículo 70.– En el caso de transferencias de datos personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del mismo grupo del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable, el mecanismo para garantizar que el receptor de los datos personales cumplirá con las disposiciones previstas en la Ley, el presente Reglamento y demás normativa aplicable, podrá ser la existencia de normas internas de protección de datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, el presente Reglamento y demás normativa aplicable.

Sección II.- Transferencias nacionales

Condiciones específicas para las transferencias nacionales

Artículo 71.– Para realizar una transferencia de datos personales dentro del territorio nacional será necesario que el responsable cumpla con lo previsto en los artículos 36 de la Ley y 68 del presente Reglamento.

Receptor de los datos personales

Artículo 72.– El receptor de los datos personales será un sujeto regulado por la Ley y el presente Reglamento en su carácter de responsable, y deberá tratar los datos personales conforme a lo convenido en el aviso de privacidad que le comunique el responsable transferente.

Formalización de las transferencias nacionales

Artículo 73.– La transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el　tratamiento de sus datos personales.

Sección III.- Transferencias Internacionales

Condiciones específicas para las transferencias internacionales

Artículo 74.– Sin perjuicio de lo dispuesto en el artículo 37 de la Ley, las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.

Formalización de las transferencias internacionales

Artículo 75.– A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las　que el titular consintió el tratamiento de sus datos personales.

Opinión del Instituto respecto de las transferencias

Artículo 76.– Los responsables, en caso de considerarlo necesario, podrán solicitar la opinión del Instituto respecto a si las transferencias internacionales que realicen cumplen con lo dispuesto por la Ley y el presente　Reglamento.

Capítulo V.- De la Coordinación entre Autoridades

Emisión de regulación secundaria

Artículo 77.– Cuando la dependencia competente, atendiendo a las necesidades que advierta sobre el sector que regule, determine la necesidad de normar el tratamiento de datos personales en posesión de los　particulares podrá, en el ámbito de sus competencias, emitir o modificar regulación específica, en coadyuvancia con el Instituto.

Asimismo, cuando el Instituto derivado del ejercicio de sus atribuciones advierta la necesidad de emitir o modificar regulación específica para normar el tratamiento de datos personales en un sector o actividad　determinada, podrá proponer a la dependencia competente la elaboración de un anteproyecto.

Mecanismos de coordinación

Artículo 78.– Para la elaboración, emisión y publicación de la regulación a que se refiere el artículo 40 de la Ley, la dependencia y el Instituto establecerán los mecanismos de coordinación correspondientes.

En todos los casos, la dependencia y el Instituto, en el ámbito de sus atribuciones, determinarán las disposiciones que normen el tratamiento de datos personales en el sector o actividad que corresponda.

Capítulo VI– De la Autorregulación Vinculante

Objeto de la autorregulación

Artículo 79.– De conformidad con lo establecido en el artículo 44 de la Ley, las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras,　esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en　desarrollo del mismo y en el ámbito de sus atribuciones. Asimismo, a través de dichos esquemas el responsable podrá demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa.

Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares.

Objetivos específicos de la autorregulación

Artículo 80.– Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros　mecanismos, que incluirán reglas o estándares específicos y tendrán los siguientes objetivos primordiales:

I.　Coadyuvar al cumplimiento del principio de responsabilidad al que refiere la Ley y el presente Reglamento;

II.　Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;

III.　Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, garantizando la privacidad y confidencialidad de la información personal que esté en su posesión;

IV.　Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos　personales;

V.　Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos previstos en la Ley, así como de competencia laboral para el debido cumplimiento de　sus obligaciones en la materia;

VI.　Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente;

VII.　Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro;

VIII.　Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación, y

IX.　Encauzar mecanismos de solución alternativa de controversias entre responsables, titulares y terceras personas, como son los de conciliación y mediación.

Estos esquemas serán vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión será de carácter voluntario.

Incentivos para la autorregulación

Artículo 81.– Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de　verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así　como mecanismos que faciliten procesos administrativos ante el mismo.

Contenido mínimo de los esquemas de autorregulación

Artículo 82.– Los esquemas de autorregulación deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de　autorregulación, considerando al menos lo siguiente:

I.　El tipo de esquema convenido, que podrá constituirse en códigos deontológicos, código de buena　práctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables　comprometidos con la protección de sus datos personales;

II.　Ámbito de aplicación de los esquemas de autorregulación;

III.　Los procedimientos o mecanismos que se emplearán para hacer eficaz la protección de datos personales por parte de los adheridos, así como para medir la eficacia;

IV.　Sistemas de supervisión y vigilancia internos y externos;

V.　Programas de capacitación para quienes traten los datos personales;

VI.　Los mecanismos para facilitar los derechos de los titulares de los datos personales;

VII.　La identificación de las personas físicas o morales adheridas, que posibilite reconocer a los responsables que satisfacen los requisitos exigidos por determinado esquema de autorregulación y que se encuentran comprometidos con la protección de los datos personales que poseen, y

VIII.　Las medidas correctivas eficaces en caso de incumplimiento.

Certificación en protección de datos personales

Artículo 83.– Los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales.

En caso de que el responsable decida someterse a un procedimiento de certificación, ésta deberá ser otorgada por una persona física o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin establezcan los parámetros a los que refiere el artículo 43, fracción V de la Ley.

Personas físicas o morales acreditadas

Artículo 84.– Las personas físicas o morales acreditadas como certificadores tendrán la función principal de certificar que las políticas, programas y procedimientos de privacidad instrumentados por los responsables　que de manera voluntaria se sometan a su actuación, aseguren el debido tratamiento y que las medidas de seguridad adoptadas son las adecuadas para su protección. Para ello, los certificadores podrán valerse de　mecanismos como verificaciones y auditorías.

El procedimiento de acreditación de los certificadores a los que refiere el párrafo anterior, se llevará a cabo de acuerdo con los parámetros que prevé el artículo 43, fracción V de Ley. Estos certificadores deberán　garantizar la independencia e imparcialidad para el otorgamiento de certificados, así como el cumplimiento de los requisitos y criterios que se establezcan en los parámetros en mención.

Parámetros de autorregulación

Artículo 85.– Los parámetros de autorregulación a los que se refiere el artículo 43, fracción V de la Ley contendrán los mecanismos para acreditar y revocar a las personas físicas o morales certificadoras, así como sus funciones; los criterios generales para otorgar los certificados en materia de protección de datos personales, y el procedimiento de notificación de los esquemas de autorregulación vinculante.

Registro de esquemas de autorregulación

Artículo 86.　Los esquemas de autorregulación notificados en términos del último párrafo del artículo 44 de la Ley formarán parte de un registro, que será administrado por el Instituto y en el que se incluirán aquéllos　que cumplan con los requisitos que establezcan los parámetros previstos en el artículo 43, fracción V de la Ley.

Capítulo VII.- De los Derechos de los Titulares de Datos Personales y su Ejercicio

Sección I.- Disposiciones Generales

Ejercicio de los derechos

Artículo 87.– El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.

Restricciones al ejercicio de los derechos

Artículo 88.– El ejercicio de los derechos ARCO podrá restringirse por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, o bien mediante resolución de　la autoridad competente debidamente fundada y motivada.

Personas facultadas para el ejercicio de los derechos

Artículo 89.– Los derechos ARCO se ejercerán:

I.　Por el titular, previa acreditación de su identidad, a través de la presentación de copia de su documento de identificación y habiendo exhibido el original para su cotejo. También podrán ser admisibles los　instrumentos electrónicos por medio de los cuales sea posible identificar fehacientemente al titular, u otros mecanismos de autenticación permitidos por otras disposiciones legales o reglamentarias, o aquéllos　previamente establecidos por el responsable. La utilización de firma electrónica avanzada o del instrumento electrónico que lo sustituya eximirá de la presentación de la copia del documento de identificación, y

II.　Por el representante del titular, previa acreditación de:

a)　La identidad del titular;

b)　La identidad del representante, y

c)　La existencia de la representación, mediante instrumento público o carta poder firmada ante dos testigos, o declaración en comparecencia personal del titular.

Para el ejercicio de los derechos ARCO de datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el Código Civil Federal.

Medios para el ejercicio de los derechos

Artículo 90.– El titular, para el ejercicio de los derechos ARCO, podrá presentar, por sí mismo o a través de su representante, la solicitud ante el responsable conforme a los medios establecidos en el aviso de　privacidad. Para tal fin, el responsable pondrá a disposición del titular, medios remotos o locales de　comunicación electrónica u otros que considere pertinentes.

Asimismo, el responsable podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO, lo cual deberá informarse en el aviso de privacidad.

Servicios de atención al público

Artículo 91.– Cuando el responsable disponga de servicios de cualquier índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados, podrá　atender las solicitudes para el ejercicio de los derechos ARCO a través de dichos servicios, siempre y cuando los plazos no contravengan los establecidos en el artículo 32 de la Ley. En tal caso, la identidad del titular se　considerará acreditada por los medios establecidos por el responsable para la identificación de los titulares en la prestación de sus servicios o contratación de sus productos, siempre que a través de dichos medios se　garantice la identidad del titular.

Procedimientos específicos para el ejercicio de los derechos ARCO

Artículo 92.– Cuando las disposiciones aplicables a determinadas bases de datos o tratamientos establezcan un procedimiento específico para solicitar el ejercicio de los derechos ARCO, se estará a lo dispuesto en aquéllas que ofrezcan mayores garantías al titular, y no contravengan las disposiciones previstas en la Ley.

Costos

Artículo 93.– El ejercicio de los derechos ARCO será sencillo y gratuito, debiendo cubrir el titular únicamente los gastos de envío, reproducción y, en su caso, certificación de documentos, salvo la excepción prevista en el segundo párrafo del artículo 35 de la Ley.

Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

El responsable no podrá establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio con costo.

Domicilio del titular

Artículo 94.– En la solicitud de acceso, para los efectos del artículo 29, fracción I de la Ley, se deberá indicar el domicilio o cualquier otro medio para que sea notificada la respuesta. En caso de no cumplir con este requisito, el responsable tendrá por no presentada la solicitud, dejando constancia de ello.

Registro de solicitudes

Artículo 95.– El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO. El plazo para que se atienda la solicitud empezará a computarse a partir del día en que la misma haya sido　recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información al titular, en términos de lo dispuesto por el artículo siguiente.

Requerimiento de información adicional

Artículo 96.– En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, o bien, no se acompañen los documentos a que hacen referencia los artículos 29, fracción II y 31　de la Ley, el responsable podrá requerir al titular, por una vez y dentro de los cinco días siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con diez días para atender el requerimiento, contados a partir del día siguiente en que lo haya recibido. De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente.

En caso de que el titular atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud empezará a correr al día siguiente de que el titular haya atendido el requerimiento.

En caso de que el responsable no requiera al titular documentación adicional para la acreditación de su identidad o de la personalidad de su representante, se entenderá por acreditada la misma con la documentación aportada por el titular desde la presentación de su solicitud.

Ampliación de los plazos

Artículo 97.- En términos del artículo 32, segundo párrafo de la Ley, en caso de que el responsable determine ampliar el plazo de respuesta a una solicitud para el ejercicio de los derechos ARCO o aquél para hacer efectiva la respuesta, éste deberá notificar al solicitante las causas que justificaron dicha ampliación, en cualquiera de los siguientes plazos:

I.　En caso de ampliar los veinte días para comunicar la determinación adoptada sobre la procedencia de la solicitud, la justificación de la ampliación deberá notificarse dentro del mismo plazo contado a partir del día en　que se recibió la solicitud, o

II.　En caso de ampliar los quince días para hacer efectivo el ejercicio del derecho que corresponda, la justificación de la ampliación deberá notificarse dentro del mismo plazo contado a partir del día en que se notificó la procedencia de la solicitud.

Respuesta por parte del responsable

Artículo 98.– En todos los casos, el responsable deberá dar respuesta a las solicitudes de derechos ARCO que reciba, con independencia de que figuren o no datos personales del titular en sus bases de datos, de　conformidad con los plazos establecidos en el artículo 32 de la Ley.

La respuesta al titular deberá referirse exclusivamente a los datos personales que específicamente se hayan indicado en la solicitud correspondiente, y deberá presentarse en un formato legible y comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.

Acceso a los datos personales en sitio

Artículo 99.– Cuando el acceso a los datos personales sea en sitio, el responsable deberá determinar el periodo durante el cual el titular podrá presentarse a consultarlos, mismo que no podrá ser menor a quince días. Transcurrido ese plazo, sin que el titular haya acudido a tener acceso a sus datos personales, será necesaria la presentación de una nueva solicitud.

Negativa por parte del responsable

Artículo 100.– El responsable que niegue el ejercicio de cualquiera de los derechos ARCO deberá justificar su respuesta, así como informar al titular el derecho que le asiste para solicitar el inicio del procedimiento de　protección de derechos ante el Instituto.

Sección II.- Del Derecho de Acceso y su Ejercicio

Derecho de acceso

Artículo 101.– El titular, en términos de lo dispuesto por el artículo 23 de la Ley, tiene derecho a obtener del responsable sus datos personales, así como información relativa a las condiciones y generalidades del　tratamiento.

Medios para el cumplimiento del derecho de Acceso

Artículo 102.– La obligación de acceso se dará por cumplida cuando el responsable ponga a disposición del titular los datos personales en sitio, respetando el periodo señalado en el artículo 99 del presente　Reglamento, o bien, mediante la expedición de copias simples, medios magnéticos, ópticos, sonoros, visuales u holográficos, o utilizando otras tecnologías de la información que se hayan previsto en el aviso de　privacidad. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.

Cuando el responsable así lo considere conveniente, podrá acordar con el titular medios de reproducción de la información distintos a los informados en el aviso de privacidad.

Sección III.- Del Derecho de Rectificación y su Ejercicio

Derecho de rectificación

Artículo 103.– De conformidad con lo dispuesto por el artículo 24 de la Ley, el titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos.

Requisitos para el ejercicio del derecho de rectificación

Artículo 104.– La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación que ampare la procedencia de lo solicitado. El responsable podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

Sección IV.- Del Derecho de Cancelación y su Ejercicio

Derecho de cancelación

Artículo 105.– En términos del artículo 25 de la Ley, la cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión.

Ejercicio del derecho de cancelación

Artículo 106.– El titular podrá solicitar en todo momento al responsable la cancelación de los datos personales cuando considere que los mismos no están siendo tratados conforme a los principios y deberes que establece la Ley y el presente Reglamento.

La cancelación procederá respecto de la totalidad de los datos personales del titular contenidos en una　base de datos, o sólo parte de ellos, según lo haya solicitado.

Bloqueo

Artículo 107.– De resultar procedente la cancelación, y sin perjuicio de lo establecido en el artículo 32 de la Ley, el responsable deberá:

I.　Establecer un periodo de bloqueo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas, y notificarlo al titular o a　su representante en la respuesta a la solicitud de cancelación, que se emita dentro del plazo de veinte días que establece el artículo 32 de la Ley;

II.　Atender las medidas de seguridad adecuadas para el bloqueo;

III.　Llevar a cabo el bloqueo en el plazo de quince días que establece el artículo 32 de la Ley, y

IV.　Transcurrido el periodo de bloqueo, llevar a cabo la supresión correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable.

Propósitos del bloqueo

Artículo 108.- En términos del artículo 3, fracción III de la Ley, el bloqueo tiene como propósito impedir el tratamiento, a excepción del almacenamiento, o posible acceso por persona alguna, salvo que alguna　disposición legal prevea lo contrario.

El periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente.

Sección V.- Del Derecho de Oposición y su Ejercicio

Derecho de oposición

Artículo 109.– En términos del artículo 27 de la Ley, el titular podrá, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:

I.　Exista causa legítima y su situación específica así lo requiera, lo cual debe justificar que aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un perjuicio al titular, o

II.　Requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos.

No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.

Listados de exclusión

Artículo 110.– Para el ejercicio del derecho de oposición, los responsables podrán gestionar listados de exclusión propios en los que incluyan los datos de las personas que han manifestado su negativa para que trate sus datos personales, ya sea para sus productos o de terceras personas.

Asimismo, los responsables podrán gestionar listados comunes de exclusión por sectores o generales.

En ambos casos, la inscripción del titular a dichos listados deberá ser gratuita y otorgar al titular una constancia de su inscripción al mismo, a través de los mecanismos que el responsable determine.

Registro Público de Consumidores y Registro Público de Usuarios

Artículo 111.– El Registro Público de Consumidores previsto en la Ley Federal de Protección al Consumidor y el Registro Público de Usuarios previsto en la Ley de Protección y Defensa al Usuario de Servicios Financieros, continuarán vigentes y se regirán de conformidad con lo que establezcan las leyes en cita y las disposiciones aplicables que de ellas deriven.

Sección VI.- De las decisiones sin intervención humana valorativa

Tratamiento de datos personales en decisiones sin intervención humana valorativa

Artículo 112.– Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación　ocurre.

Asimismo, el titular podrá ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación, cuando considere que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal fin, esté en posibilidad de solicitar la reconsideración de la decisión tomada.

Capítulo VIII.- Del Procedimiento de Protección de Derechos

Inicio

Artículo 113.– La solicitud para iniciar el procedimiento de protección de derechos deberá presentarse por el titular o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine el　Instituto o a través del sistema que éste establezca, en el plazo previsto en el artículo 45 de la Ley.

Tanto el formato como el sistema deberán ser puestos a disposición por el Instituto en su sitio de Internet y en cada una de las oficinas habilitadas que éste determine.

Al promover una solicitud de protección de derechos, el titular o su representante deberán acreditar su identidad o personalidad respectivamente, en los términos establecidos en el artículo 89 del presente Reglamento. En el caso del titular, éste también podrá acreditar su identidad a través de medios electrónicos u otros, en términos de lo que prevean las disposiciones legales o reglamentarias aplicables.

El Instituto podrá tener por reconocida la identidad del titular o la personalidad del representante cuando la misma ya hubiere sido acreditada ante el responsable al ejercer su derecho ARCO.

Medios para presentar la solicitud de protección de derechos

Artículo 114.– La solicitud de protección de derechos podrá presentarse en el domicilio del Instituto, en sus oficinas habilitadas, por correo certificado con acuse de recibo o en el sistema al que refiere el artículo　anterior, en este último caso, siempre que el particular cuente con la certificación del medio de identificación electrónica a que se refiere el artículo 69-C de la Ley Federal de Procedimiento Administrativo  u otras　disposiciones legales aplicables. En todo caso, se entregará al promovente un acuse de recibo en el cual conste de manera fehaciente la fecha de la presentación de la solicitud.

Cuando el promovente presente su solicitud por medios electrónicos a través del sistema que establezca el Instituto, se entenderá que acepta que las notificaciones le sean efectuadas por dicho sistema o a través de　otros medios electrónicos generados por éste, salvo que señale un medio distinto para efectos de las notificaciones.

Cuando la solicitud sea presentada por el titular o su representante en la oficina habilitada por el Instituto, ésta hará constar la acreditación de la identidad o, en su caso, de la personalidad del representante, y podrá　enviar o registrar por medios electrónicos, tanto la solicitud, como los documentos exhibidos. En este caso, la solicitud se tendrá por recibida, para efectos del plazo a que se refiere el artículo 47 de la Ley, cuando el　Instituto, a través de ese mismo medio, genere el acuse de recibo correspondiente.

Lo anterior, sin perjuicio de que la oficina habilitada remita al Instituto por correo certificado, la constancia de identidad del titular o el documento de acreditación de la personalidad del representante, así como la　solicitud y los documentos anexos, para su integración al expediente respectivo.

En el caso de que el titular envíe la solicitud y sus anexos por correo certificado, el plazo a que se refiere el artículo 47 de la Ley empezará a contar a partir de la fecha que conste en el sello de recepción del Instituto.

Causales de procedencia

Artículo 115.– El procedimiento de protección de derechos procederá cuando exista una inconformidad por parte del titular, derivada de acciones u omisiones del responsable con motivo del ejercicio de los derechos　ARCO cuando:

I.　El titular no haya recibido respuesta por parte del responsable;

II.　El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato incomprensible;

III.　El responsable se niegue a efectuar las rectificaciones a los datos personales;

IV.　El titular no esté conforme con la información entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducción;

V.　El responsable se niegue a cancelar los datos personales;

VI.　El responsable persista en el tratamiento a pesar de haber procedido la solicitud de oposición, o bien, se niegue a atender la solicitud de oposición, y

VII.　Por otras causas que a juicio del Instituto sean procedentes conforme a la Ley o al presente Reglamento.

Requisitos de la solicitud de protección de derechos

Artículo 116.– El promovente, en términos del artículo 46 de la Ley, deberá adjuntar a su solicitud de protección de derechos la información y documentos siguientes:

I.　Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

II.　El documento que acredite que actúa por su propio derecho o en representación del titular;

III.　El documento en que conste la respuesta del responsable, de ser el caso;

IV.　En el supuesto en que impugne la falta de respuesta del responsable, deberá acompañar una copia en la que obre el acuse o constancia de recepción de la solicitud del ejercicio de derechos por parte del　responsable;

V.　Las pruebas documentales que ofrece para demostrar sus afirmaciones;

VI.　El documento en el que señale las demás pruebas que ofrezca, en términos del artículo 119 del presente Reglamento, y

VII.　Cualquier otro documento que considere procedente someter a juicio del Instituto.

Si el titular no pudiera acreditar que acudió con el responsable, ya sea porque éste se hubiere negado a recibir la solicitud de ejercicio de derechos ARCO o a emitir el acuse de recibido, lo hará del conocimiento del　Instituto mediante escrito, y éste le dará vista al responsable para que manifieste lo que a su derecho convenga, a fin de garantizar al titular el ejercicio de sus derechos ARCO.

Acuerdo de admisión

Artículo 117.– En su caso, el Instituto deberá acordar la admisión de la solicitud de protección de derechos en un plazo no mayor a diez días a partir de su recepción.

Acordada la admisión, el Instituto notificará la misma al promovente y correrá traslado al responsable, en un plazo no mayor a diez días, anexando copia de todos los documentos que el titular hubiere aportado, a　efecto de que manifieste lo que a su derecho convenga en un plazo de quince días a partir de la notificación, debiendo ofrecer las pruebas que considere pertinentes.

Admisión o desechamiento de las pruebas

Artículo 118.– El Instituto dictará un acuerdo de admisión o desechamiento de las pruebas, y de ser necesario éstas serán desahogadas en una audiencia, de la cual se notificará el lugar o medio, la fecha y hora a las partes.

Ofrecimiento de pruebas

Artículo 119.– Los medios de prueba que podrán ofrecerse son los siguientes:

I.　La documental pública;

II.　La documental privada;

III.　La inspección, siempre y cuando se realice a través de la autoridad competente;

IV.　La presuncional, en su doble aspecto, legal y humana;

V.　La pericial;

VI.　La testimonial, y

VII.　Las fotografías, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología.

En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el　interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas pruebas.

Conciliación

Artículo 120.– Admitida la solicitud y sin perjuicio de lo dispuesto por el artículo 54 de la Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:

I.　En el acuerdo de admisión de la solicitud de protección de derechos, el Instituto requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a diez días, contados a　partir de la notificación de dicho acuerdo, mismo que contendrá un resumen de la solicitud de protección de datos personales y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los　puntos de controversia.

La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine el Instituto. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.

Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y　Adolescentes, vinculados con la Ley y el presente Reglamento, salvo que cuente con representación legal debidamente acreditada;

II.　Aceptada la posibilidad de conciliar por las partes, el Instituto señalará el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los veinte días siguientes　en que el Instituto haya recibido la manifestación de la voluntad de conciliar de las partes, en la que se procurará avenir los intereses entre el titular y el responsable.

El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.

El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia de conciliación hasta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación.

De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;

III.　Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de conciliación; en caso de que no acuda a esta última, se　continuará con el procedimiento de protección de derechos. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;

IV.　De no existir acuerdo en la audiencia de conciliación, se continuará con el procedimiento de protección de derechos;

V.　En caso de que en la audiencia se logre la conciliación, el acuerdo deberá constar por escrito y tendrá efectos vinculantes y señalará, en su caso, el plazo de su cumplimiento, y

VI.　El cumplimiento del acuerdo dará por concluido el procedimiento de protección de derechos, en caso contrario, el Instituto reanudará el procedimiento.

El plazo al que se refiere el artículo 47 de la Ley será suspendido durante el periodo de cumplimiento del acuerdo de conciliación.

El procedimiento establecido en el presente artículo no obsta para que, en términos del artículo 54 de la Ley, el Instituto pueda buscar la conciliación en cualquier momento del procedimiento de protección de derechos.

Audiencia

Artículo 121.– Para los efectos del penúltimo párrafo del artículo 45 de la Ley, el Instituto determinará, en su caso, el lugar o medio, fecha y hora para la celebración de la audiencia, la cual podrá posponerse sólo por　causa justificada. En dicha audiencia se desahogarán las pruebas que por su naturaleza así lo requieran y se levantará el acta correspondiente.

Presentación de alegatos

Artículo 122.– Dictado el acuerdo que tenga por desahogadas todas las pruebas, se pondrán las actuaciones a disposición de las partes, para que éstos, en caso de quererlo, formulen alegatos en un plazo de cinco días, contados a partir de la notificación del acuerdo a que se refiere este artículo. Al término de dicho plazo, se cerrará la instrucción y el Instituto emitirá su resolución en el plazo establecido en el artículo 47 de la Ley.

Tercero interesado

Artículo 123.– En caso de que no se haya señalado tercero interesado, éste podrá apersonarse en el procedimiento mediante escrito en el que acredite interés jurídico para intervenir en el asunto, hasta antes del cierre de instrucción. Deberá adjuntar a su escrito el documento en el que se acredite su personalidad cuando no actúe en nombre propio y las pruebas documentales que ofrezca.

Falta de respuesta

Artículo 124.– En caso de que el procedimiento se inicie por falta de respuesta del responsable a una solicitud de ejercicio de los derechos ARCO, el Instituto correrá traslado al responsable para que, en su caso,　acredite haber dado respuesta a la misma, o bien, a falta de ésta, emita la respuesta correspondiente y la notifique al titular con copia al Instituto, en un plazo de diez días contados a partir de la notificación.

En caso de que el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y haberla notificado al titular o su representante, el procedimiento de protección de derechos será sobreseído por quedar sin materia, de conformidad con lo previsto en el artículo 53, fracción IV de la Ley.

Cuando el responsable acredite haber dado respuesta a la solicitud de ejercicio de derechos en tiempo y forma, y la solicitud de protección de derechos no haya sido presentada por el titular en el plazo que establece la Ley y el presente Reglamento, el procedimiento de protección de derechos se sobreseerá por extemporáneo, de conformidad con lo previsto en el artículo 53, fracción III de la Ley, en relación con el artículo 52, fracción V del mismo ordenamiento.

En caso de que la respuesta sea emitida por el responsable durante el procedimiento de protección de derechos o hubiere sido emitida fuera del plazo establecido por el artículo 32 de la Ley, el responsable notificará dicha respuesta al Instituto y al titular, para que este último, en un plazo de quince días contados a partir de la notificación, manifieste lo que a su derecho convenga, a efecto de continuar el curso del procedimiento. Si el titular manifiesta su conformidad con la respuesta, el procedimiento será sobreseído por quedar sin materia.

Cuando el responsable no atienda el requerimiento al que refiere el primer párrafo del presente artículo, el Instituto resolverá conforme a los elementos que consten en el expediente.

Resoluciones

Artículo 125.– Las resoluciones del Instituto deberán cumplirse en el plazo y términos que las mismas señalen, y podrán instruir el inicio de otros procedimientos previstos en la Ley.

Medios de impugnación

Artículo 126.– Contra la resolución al procedimiento de protección de derechos procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Reconducción del procedimiento

Artículo 127.– En caso de que la solicitud de protección de derechos no actualice alguna de las causales de procedencia previstas en el artículo 115 del presente Reglamento, sino que refiera al procedimiento de　verificación contenido en el Capítulo IX de este Reglamento, ésta se turnará a la unidad administrativa competente, en un plazo no mayor a diez días, contados a partir del día en que se recibió la solicitud.

Capítulo IX.- Del Procedimiento de Verificación

Inicio

Artículo 128.– El Instituto, con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley o en la regulación que de ella derive, podrá iniciar el procedimiento de verificación, requiriendo al　responsable la documentación necesaria o realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas.

Causales de procedencia

Artículo 129.– El procedimiento de verificación se iniciará de oficio o a petición de parte, por instrucción del Pleno del Instituto.

Cualquier persona podrá denunciar ante el Instituto las presuntas violaciones a las disposiciones previstas en la Ley y demás ordenamientos aplicables, siempre que no se ubiquen en los supuestos de procedencia del　procedimiento de protección de derechos. En este caso, el Pleno determinará, de manera fundada y motivada, la procedencia de iniciar la verificación correspondiente.

Fe pública

Artículo 130.– En el ejercicio de las funciones de verificación, el personal del Instituto estará dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.

Requisitos de la denuncia

Artículo 131.– La denuncia deberá indicar lo siguiente:

I.　Nombre del denunciante y el domicilio o el medio para recibir notificaciones, en su caso;

II.　Relación de los hechos en los que basa su denuncia y los elementos con los que cuente para probar su dicho, y

III.　Nombre y domicilio del denunciado o, en su caso, datos para su ubicación.

La denuncia podrá presentarse en los mismos medios establecidos para el procedimiento de protección de derechos.

Cuando la denuncia se presente por medios electrónicos a través del sistema que establezca el Instituto, se entenderá que se acepta que las notificaciones sean efectuadas por dicho sistema o a través de otros medios electrónicos generados por éste, salvo que se señale un medio distinto para efectos de las mismas.

Cuando las actuaciones se lleven a cabo como consecuencia de una denuncia, el Instituto acusará recibo de la misma, pudiendo solicitar la documentación que estime oportuna para el desarrollo del procedimiento.

Desarrollo de la verificación

Artículo 132.– El procedimiento de verificación tendrá una duración máxima de ciento ochenta días, este plazo comenzará a contar a partir de la fecha en que el Pleno hubiera dictado el acuerdo de inicio y concluirá　con la determinación del mismo, el cual no excederá de ciento ochenta días. El Pleno del Instituto podrá ampliar por una vez y hasta por un periodo igual este plazo.

El Instituto podrá realizar diversas visitas de verificaciones para allegarse de los elementos de convicción necesarios, las cuales se desarrollarán en un plazo máximo de diez días cada una. Este plazo deberá ser　notificado al responsable o encargado y, en su caso, al denunciante.

Visitas de verificación

Artículo 133.– El personal del Instituto que lleve a cabo las visitas de verificación deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente del Instituto, en la que　deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la verificación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten.

Identificación del personal verificador

Artículo 134.– Al iniciar la visita, el personal verificador deberá exhibir credencial vigente con fotografía, expedida por el Instituto que lo acredite para desempeñar dicha función, así como la orden escrita fundada y　motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.

Acta de verificación

Artículo 135.– Las visitas de verificación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de verificación. Dicha acta se　levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.

El acta que se emita por duplicado será firmada por el personal verificador actuante y por el responsable, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.

En caso de que el verificado se niegue a firmar el acta, se hará constar expresamente esta circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del verificado no supondrá su conformidad, sino tan sólo la recepción de la misma.

Se entregará al verificado uno de los originales del acta de verificación, incorporándose el otro a las actuaciones.

Contenido de las actas de verificación

Artículo 136.– En las actas de verificación se hará constar:

I.　Nombre, denominación o razón social del verificado;

II.　Hora, día, mes y año en que se inicie y concluya la verificación;

III.　Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o delegación, código postal y entidad federativa en que se encuentre ubicado el lugar en que se　practique la verificación, así como número telefónico u otra forma de comunicación disponible con el verificado;

IV.　Número y fecha del oficio de comisión que la motivó;

V.　Nombre y cargo de la persona con quien se entendió la verificación;

VI.　Nombre y domicilio de las personas que fungieron como testigos;

VII.　Datos relativos a la actuación;

VIII.　Declaración del verificado, si quisiera hacerla, y

IX.　Nombre y firma de quienes intervinieron en la verificación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el verificado, su representante legal o la persona con quien se entendió la verificación, ello no afectará la validez del acta, debiendo el personal verificador asentar la razón relativa.

Los verificados a quienes se haya levantado acta de verificación, podrán formular observaciones en el acto de la verificación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o　bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiere levantado.

Resolución

Artículo 137.– El procedimiento de verificación concluirá con la resolución que emita el Pleno del Instituto, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable en el plazo que la　misma establezca.

La resolución del Pleno podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley y el presente Reglamento.

La determinación del Pleno será notificada al verificado y al denunciante.

Medios de impugnación

Artículo 138.– En contra de la resolución al procedimiento de verificación, se podrá interponer el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Reconducción del procedimiento

Artículo 139.– En caso de que la denuncia presentada no refiera al procedimiento previsto en el presente capítulo, sino que actualice alguna de las causales de procedencia del procedimiento de protección de　derechos, contenidas en el artículo 115 del presente Reglamento, ésta se turnará a la unidad administrativa competente, en un plazo no mayor a diez días, contados a partir del día en que se recibió la solicitud.

Capítulo X.- Del Procedimiento de Imposición de Sanciones

Inicio

Artículo 140.-  Para efectos del artículo 61 de la Ley, el Instituto iniciará el procedimiento de imposición de sanciones cuando de los procedimientos de protección de derechos o de verificación, se determinen　presuntas infracciones a la Ley susceptibles de ser sancionadas conforme al artículo 64 de la misma. Desahogado el procedimiento respectivo, se emitirá la resolución correspondiente.

El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que el Instituto tenga registrado, derivado de los procedimientos de protección de derechos o de verificación.

La notificación irá acompañada de un informe que describa los hechos constitutivos de la presunta infracción, emplazando al presunto infractor para que en un término de quince días, contados a partir de que surta efectos la notificación, manifieste lo que a su derecho convenga y rinda las pruebas que estime convenientes.

Ofrecimiento y desahogo de pruebas

Artículo 141.– El presunto infractor en su contestación se manifestará concretamente respecto de cada uno de los hechos que se le imputen de manera expresa, afirmándolos, negándolos, señalando que los ignora por　no ser propios o exponiendo cómo ocurrieron, según sea el caso; y presentará los argumentos por medio de los cuales desvirtúe la infracción que se presume y las pruebas correspondientes.

En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el　interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas pruebas.

Admisión o desechamiento de las pruebas

Artículo 142.– Al ofrecimiento de pruebas del presunto infractor, deberá recaer un acuerdo de admisión o desechamiento de las mismas, y se procederá a su desahogo.

De ser necesario, se determinará lugar, fecha y hora para el desahogo de pruebas, que por su naturaleza así lo requieran. Se levantará un acta de la celebración de la audiencia y del desahogo de las pruebas.

Cierre de instrucción y resolución

Artículo 143.– Desahogadas, en su caso, las pruebas, se notificará al presunto infractor que cuenta con cinco días para presentar alegatos, contados a partir del día siguiente de que surta efectos la notificación. Al　término de dicho plazo se cerrará la instrucción y la resolución del Instituto deberá emitirse en un plazo no mayor de cincuenta días, siguientes a los que inició el procedimiento.

Cuando haya causa justificada, el Pleno del Instituto podrá ampliar por una vez y hasta por un período igual el plazo de cincuenta días al que refiere el párrafo anterior.

Medios de impugnación

Artículo 144.– En contra de la resolución al procedimiento de imposición de sanciones procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

TRANSITORIOS

PRIMERO.-  El presente Reglamento entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.

SEGUNDO.-  Cualquier tratamiento regulado por la Ley y el presente Reglamento que se realice con posterioridad a la fecha de entrada en vigor de la Ley, deberá ajustarse a las disposiciones previstas en dichos ordenamientos, con independencia de que los datos personales hayan sido obtenidos o la base de datos correspondiente haya sido conformada o creada con anterioridad a la entrada en vigor de la Ley. No será necesario recabar el consentimiento de los titulares de los datos personales obtenidos con anterioridad a la entrada en vigor de la Ley, siempre y cuando se cumpla con lo dispuesto por el siguiente párrafo.

Los responsables que hayan recabado datos personales antes de la entrada en vigor de la Ley y que continúen dando tratamiento a los mismos, deberán poner a disposición de los titulares el aviso de privacidad o, en su caso, aplicar cualquiera de las medidas compensatorias, según se requiera, de conformidad con lo dispuesto por los artículos 18 de la Ley y 32, 33, 34 y 35 del presente Reglamento.

El titular tiene a salvo el ejercicio de sus derechos ARCO con relación a los tratamientos que se informen en el aviso de privacidad, o la medida compensatoria que corresponda.

TERCERO.-  Los criterios generales para el uso de las medidas compensatorias a las que se refiere el artículo 32 del presente Reglamento, serán publicadas por el Instituto a más tardar a los tres meses a partir de la entrada en vigor de este Reglamento.

CUARTO.-  El responsable deberá observar lo dispuesto en el Capítulo III del presente Reglamento a más tardar a los dieciocho meses siguientes de la entrada en vigor del mismo.

QUINTO.-  La Secretaría, en coadyuvancia con el Instituto, emitirá los parámetros a que se refieren los artículos 82, 83, 84, 85 y 86 de este Reglamento, dentro de los seis meses siguientes a su entrada en vigor.

Dado en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a diecinueve de diciembre de dos mil once.

Felipe de Jesús CalderónHinojosa.

El Secretario de Economía, Bruno Francisco Ferrari García de Alba

Resolución nº 02/08 de 4 de enero de 2008 de la Provincia de Chubut, que autoriza la recepción de escritos enviados por el Ministerio Público Fiscal y la Defensa Pública por medio de correos electrónicos con firma digital.

Trelew, 04 de enero de 2008

Visto, lo dispuesto en los artículos 75, cc. y ss. de la ley 5478, y

CONSIDERANDO:

Que al poco tiempo de regir el nuevo sistema procesal penal esta Oficina Judicial ha dado curso a escritos enviados por las partes mediante correo electrónico con firma digital, en especial por el Ministerio Público Fiscal.

Que luego al suscitarse algunos inconvenientes operativos, y al no existir norma alguna emitida por la Sala Penal del Superior Tribunal de Justicia al respecto, es que se dispuso suspender ese medio de recepción de escritos.

Que a raíz de ello en ésta Oficina Judicial se han recepcionado solicitudes de manera informal por parte del Ministerio Público Fiscal con el objeto de que continúe la recepción de escritos enviados por vía digital.

Que ello amerita extremar los recaudos con el fin de evitar inconvenientes innecesarios que puedan existir por una posible falta de coordinación en la recepción de escritos.

Que en tal sentido, se instruyó a la delegada de informática para que gestionara una dirección de correo electrónico la cual resulta ser la siguiente: [email protected].

Que la recepción de escritos por este medio será en el horario comprendido entre las 07:00 y 18:30 horas de lunes a viernes, en atención al horario de actividad de la Oficina Judicial, de acuerdo a lo dispuesto en el Acuerdo Nro. 09/06 de la Sala Penal del STJ. Fuera de ese horario se dará ingreso a los escritos en la primer hora hábil siguiente.

Que a los fines de otorgar mayor eficiencia y celeridad a tal actividad, resulta necesario habilitar a personal de ésta Oficina Judicial para que proceda a recepcionar y dar curso a la documentación enviada mediante correo electrónico con firma digital.

Que el personal autorizado será responsable de poner en conocimiento cualquier circunstancia relacionada con tal actividad al suscripto, o en su caso al Subdirector de la Oficina Judicial y/o a los Prosecretarios.

Que por ello, y teniendo en cuenta las normas citadas,

EL DIRECTOR DE LA OFICINA JUDICIAL DE TRELEW

RESUELVE:

1º) AUTORIZAR la recepción de escritos enviados por el Ministerio Público Fiscal y la Defensa Pública por medio de correos electrónicos con firma digital, en el horario de 07:00 a 18:30 hs. de lunes a viernes, estableciendo como única dirección de correo válida la siguiente: [email protected], haciendo saber que fuera de ese horario se dará ingreso a los escritos en la primer hora hábil siguiente.

2º) DISPONER que el personal de mesa de entradas de ésta Oficina Judicial tendrá a su cargo imprimir y dar curso a las presentaciones que se realicen, quedando a cargo de la delegada de informática el control diario del correcto funcionamiento del sistema.

3º) NOTIFIQUESE a ambos Ministerios Públicos, al Colegio de Jueces Penales, a la Excma. Cámara del Crimen, y remítase copia de la presente a la Secretaría de Informática Jurídica del Superior Tribunal de Justicia.

Jesús María, 31 de marzo de 2011

VISTA:

El Acta de Sesión de Consejo Directivo nº 006-2001/OSCE-CD de fecha 21 de marzo de 2011, correspondiente a la Sesión Ordinaria nº 005-2011/OSCE-CD;

CONSIDERANDO:

Que, el artículo 57º de la Ley de Contrataciones del Estado, aprobada mediante Decreto Legislativo nº 1017, en adelante la Ley, establece que el Organismo Supervisor de las Contrataciones del Estado-OSCE es un organismo público técnico especializado adscrito al Ministerio de Economía y Finanzas, con personería jurídica de derecho público, que goza de autonomía técnica, funcional, administrativa, económica y financiera;

Que los artículos 67º al 70º de la citada Ley y en los artículos 285º al 298º de su Reglamento, aprobado mediante Decreto Supremo nº 184-2008-EF, se prevé las reglas básicas aplicables a los procesos de selección electrónicos;

Que, la Primera Disposición Complementaria Transitoria del Reglamento de la Ley de Contrataciones del Estado establece que las Adjudicaciones de Menor Cuantía para la contratación de servicios vía electrónica serán implementadas en un determinado orden, prescribiendo que mediante Directiva el OSCE señalará la forma en que se aplicará la obligatoriedad de las contrataciones de servicios vía electrónica para las demás Entidades, así como la forma en que se aplicará la obligatoriedad de las contrataciones electrónicas a otros tipos de procesos de selección;

Que, conforme a lo establecido en el inciso b) del artículo 58º de la Ley de Contrataciones del Estado, el OSCE tiene entre sus funciones el emitir Directivas en las materias de su competencia, siempre que se refieran a aspectos de aplicación de la Ley y su Reglamento;

Que, en concordancia con el referido artículo, la Primera Disposición Complementaria Final del Reglamento de la Ley de Contrataciones del Estado establece que sus normas complementarias se ajustarán a lo indispensable y serán aprobadas mediante Directivas emitidas por el OSCE;

Que, mediante Directiva nº 011-2009-OSCE/CD, el OSCE estableció los criterios que deben seguir las Entidades Públicas para la ejecución de los procesos electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios y los criterios que deben seguir los proveedores que desean participar y prestar sus propuestas en dichos procesos a través del SEACE. Asimismo, se estableció que la incorporación gradual de las entidades obligadas a convocar procesos electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios sería establecida en el Listado de las entidades obligadas a convocar procesos electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios;

Que, habiéndose publicado en el Portal Web del SEACE una nueva versión del “Listado de las Entidades obligadas a convocar procesos electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios”, el cual incluye aproximadamente 700 entidades a nivel nacional, resulta necesario establecer un marco normativo aplicable para la ejecución de procesos electrónicos para otros tipos de objetos de contratación, el cual debe estar orientado a precisar y uniformar los criterios que deben observar las Entidades Públicas para la ejecución de sus procesos electrónicos, así como los criterios que deben seguir los proveedores que desean participar y prestar sus propuestas en dichos procesos a través del SEACE;

Que, en ese sentido, mediante Acuerdo nº 009-005-2011/OSCE-CD de fecha 21 de marzo de 2011, el Consejo Directivo acordó aprobar la Directiva sobre “Procesos de selección electrónicos de Adjudicación de Menor Cuantía para la contratación de bienes y servicios” la cual deja sin efecto la Directiva nº 011-2009-OSCE/CD sobre “Procesos de selección electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios”;

Que, el inciso a) del artículo 60º de la Ley, concordante con el artículo 6º, numeral 1) del artículo 7º del Reglamento de Organización y Funciones del OSCE, aprobado mediante Decreto Supremo nº 006-2009-EF, en adelante el ROF, establece que el Consejo Directivo es el máximo órgano del OSCE y tiene entre sus funciones la de aprobar las Directivas en las materias de su competencia, siempre que se refieran a aspectos de aplicación de la Ley y su Reglamento;

Que, en concordancia con el artículo antes citado el artículo 6º y el numeral 8) del artículo 7º del Reglamento Interno de Funcionamiento del Consejo Directivo, aprobado mediante Acuerdo nº 012-003 del 8 de mayo de 2009 y modificado mediante Acuerdo nº 003-002 del 19 de febrero de 2010, el Presidente del Consejo Directivo es el Presidente Ejecutivo del OSCE y tiene entre sus funciones la de formalizar los acuerdos del Consejo Directivo a través de la emisión de la respectiva Resolución, cuando corresponda;

Que, el inciso 25) del artículo 10º del Reglamento de Organización y Funciones del OSCE dispone que es competencia de la Presidencia Ejecutiva la expedición de los actos administrativos que le corresponda;

Que, conforme a lo dispuesto en el artículo 3º de la Ley nº 29091, Ley que modifica la Ley de Procedimiento Administrativo General y establece la publicación de diversos dispositivos legales en el Portal del Estado Peruano y en Portales Institucionales, concordante con los artículos 3º y 4º de su Reglamento, aprobado mediante Decreto Supremo nº 004-2008-PCM, se publicarán en el Diario Oficial El Peruano los dispositivos legales que aprueben, modifiquen o deroguen, entre otros instrumentos, las directivas, siendo éstas publicadas en la misma fecha en el Portal del Estado y el Portal Institucional correspondiente;

Estando a lo expuesto y, de conformidad con el inciso 25) del artículo 10º del Reglamento de Organización y Funciones del OSCE, y en concordancia con los artículos 6º y 7º, inciso 8), del Reglamento Interno de Funcionamiento del Consejo Directivo del OSCE; y con las visaciones de la Secretaría General, la Dirección del SEACE y la Oficina de Asesoría Jurídica.

SE RESUELVE:

Artículo Primero.- Apruébese la Directiva nº 002-2011/OSCE-CD sobre “Procesos de selección electrónicos de Adjudicación de Menor Cuantía para la contratación de bienes y servicios”

Artículo Segundo.– Déjese sin efecto la Directiva nº 011-2009-OSCE-CD sobre “Procesos de selección electrónicos de Adjudicación de Menor Cuantía para la contratación de servicios”

Artículo Tercero.- Publíquese la presente resolución en el Diario Oficial El Peruano.

Artículo Cuarto.– Publíquese el texto de la Directiva nº 002-2011/OSCE-CD en el Portal del Estado Peruano (www.peru.gob.pe) y en el Portal Institucional del OSCE (www.osce.gob.pe).

Regístrese, publíquese y archívese.

CARLOS AUGUSTO SALAZAR ROMERO, Presidente Ejecutivo.     

Ley 1 del 5 de enero de 2004, que modifica y adiciona disposiciones a los Códigos Penal y Judicial y a la Ley 35 de 1996 y deroga un artículo del Código Penal y de la Ley 15 de 1994, referentes a los derechos de propiedad industrial.

La Asamblea Legislativa Decreta:

LA ASAMBLEA LEGISLATIVA DECRETA:

Artículo 1.

El artículo 382 del Código Penal queda así:

“Artículo 382. Quien fabrique o ensamble un producto amparado por patente de invención o modelo de utilidad, sin consentimiento del titular del derecho de propiedad industrial inscrito en la Dirección General de la Propiedad Industrial del Ministerio de Comercio e Industrias, o comercialice o haga circular un producto u objeto así fabricado o ensamblado, será sancionado con prisión de 2 a 4 años.

La misma sanción se impondrá al que use un procedimiento patentado, sin el consentimiento del titular del derecho de propiedad industrial inscrito en la Dirección General de la Propiedad Industrial del Ministerio de Comercio e Industrias”.

Artículo 2.

Se adiciona el artículo 382-A al Código Penal, así:

“Artículo 382-A. Quien adultere o imite un modelo o dibujo industrial protegido, será
sancionado con prisión de 2 a 4 años.

Igual sanción se impondrá al que reproduzca, fabrique o ensamble un producto u
objeto resultante de un modelo o dibujo industrial, sin la licencia respectiva inscrita ante
la Dirección General de Registro de la Propiedad Industrial del Ministerio de Comercio
e Industrias, o comercialice o haga circular productos u objetos así fabricados o
ensamblados”.

Artículo 3.

Se adiciona el artículo 382-B al Código Penal, así:

“Artículo 382-B. Quien falsifique, altere o imite una marca, un nombre comercial o una expresión o señal de propaganda, será sancionado con prisión de 2 a 4 años.

La misma sanción se aplicará al que comercialice o haga circular un producto, u ofrezca o presente servicios con marca falsificada, alterada o imitada”.

Artículo 4.

Se adiciona el artículo 382-C al Código Penal, así:

“Artículo 382-C. Quien fabrique, comercialice o haga circular un producto u ofrezca o preste servicios que lleven indicación de procedencia o denominación de origen, que infrinjan derechos de propiedad industrial, será sancionado con prisión de 1 a 2 años.”

Artículo 5.

Se adiciona el artículo 382-D al Código Penal, así:

“Artículo 382-D. Quien revele un secreto industrial o comercial, sin causa justificada,
habiendo sido prevenido de su confidencialidad, con el propósito de obtener un beneficio económico para sí o para un tercero, o con el fin de causar un perjuicio a la persona que guarda el secreto o a su usuario autorizado, será sancionado con prisión de 1 a 3 años”.

Artículo 6.

Se adiciona el artículo 382-E al Código Penal, así:

“Artículo 382-E. Quien se apodere o use información contenida en un secreto industrial o comercial, sin consentimiento de la persona que lo guarda o de su usuario autorizado, con el propósito de obtener un beneficio económico para sí o para un tercero, o con el fin de causar un perjuicio a la persona que lo guarda o al usuario autorizado, será sancionado con prisión de 2 a 4 años”.

Artículo 7.

Se adiciona el artículo 382-F al Código Penal, así:

“Artículo 382-F. Quien comercialice o haga circular una variedad vegetal protegida, que pueda ser utilizada como material de reproducción o de multiplicación, sin la licencia respectiva inscrita ante la Dirección General del Registro de la Propiedad Industrial del Ministerio de Comercio e Industrial, será sancionado con prisión de 2 a 4 años”.

Artículo 8.

El artículo 383 del Código Penal queda así:

“Artículo 383. El servidor público que use o divulgue, para provecho propio o ajeno, información o documentación inherente a algún derecho de propiedad industrial, que conozca por razón de su cargo y que deba permanecer secreto, será sancionado con prisión de 2 a 4 años y con 200 a 365 días-multa”.

Artículo 9.

El artículo 384 del Código Penal queda así:

“Artículo 384. Quien incurra en cualquiera de las conductas tipificadas en los artículos
382, 382-A, 382-B, 382-C, 382-D, 382-E y 382-F de este Código, que ponga en peligro
la salud pública, será sancionado con pena de prisión de 30 meses a 6 años”.

Artículo 10.

Se adiciona el artículo 384-A al Código Penal, así:

“Artículo 384-A. En los casos tipificados en los artículos 382, 382-A, 382-B, 382-C, 382-D, 382-E y 382-F de este Código, cuando quien cometa el hecho ilícito a sabiendas, sea un vendedor ambulante o ejerza la buhonería, con autorización de la autoridad competente o sin ella para el ejercicio de la actividad, será sancionado con un sexto de la pena de prisión allí prevista.

Si el hecho ha puesto en peligro la salud pública, serán sancionado con prisión de 1 a 2 años”.

Artículo 11.

El artículo 389 del Código Penal queda así:

“Artículo 389. Quien reciba, deposite, negocie, convierta o transfiera dineros, títulos, valores, bienes u otros recursos financieros, a sabiendas de que proceden de actividades relacionadas con el tráfico de drogas, estafa calificada, tráfico ilegal de armas, tráfico de personas, secuestro, extorsión, peculado, corrupción de servidores públicos, actos de terrorismo, robo o tráfico internacional de vehículos, o de delitos contra la propiedad intelectual en general, previstas en la ley penal panameña, con el objeto de ocultar o encubrir su origen ilícito o de ayudar a eludir las consecuencias jurídicas de tales hechos punibles, será sancionado con pena de 5 a 12 años de prisión y de 100 a 200 días-multa”.

Artículo 12.

La denominación del Capítulo IV del Título XII del Libro II del Código Penal, queda así:

“Delitos contra los Derechos de Propiedad Industrial”

Artículo 13.

El numeral 13 del literal c del artículo 159 del Código Judicial queda así:

“Artículo 159. Es competencia de los Jueces de Circuito conocer en primera instancia: ……..

13. Procesos penales por robo, hurto de una o más cabezas de ganado mayor, competencia desleal, delitos contra los derechos de propiedad industrial, delitos contra el derecho de autor y derechos conexos, peculado, procesos penales contra los jueces y personeros municipales y los funcionarios en general que tengan mando y jurisdicción en uno o más distritos de su respectivo circuito judicial, y cualquier otro delito que tenga señalada en la ley pena mayor de 2 años de prisión; y
………

Artículo 14.

Se adiciona un párrafo final al artículo 2159 del Código Judicial, así:

“Artículo 2159.
……….
Cuando se trate de delito contra el derecho de autor y derechos conexos, y contra los derechos de propiedad industrial, la cuantía de la fianza no será menor de cinco mil balboas (B/.5,000.00)”

Artículo 15.

El artículo 165 de la Ley 35 de 1996 queda así:

“Artículo 165. El juez civil aplicará, a quien incurra en las conductas tipificadas en el artículo anterior, todas y cada una de las siguientes sanciones:
1. Multa de diez mil balboas (B/.10,000.00) a doscientos mil balboas (B/.200,000.00). Esta multa se aplicará tanto a los infractores de las normas de este capítulo como a sus cómplices o encubridores.
Cuando se trate de empresas que operen en zonas francas, zonas procesadoras para la exportación o en zonas especiales existentes en Panamá, la multa aplicable será equivalente al veinticinco por ciento (25%) del movimiento comercial mensual de la empresa; sin embargo, la multa, en ningún momento, será inferior a setenta y cinco mil balboas (B/.75,000.00).
En los casos en que se ponga en peligro o llegue a afectar la salud pública, la multa será de veinte mil balboas (B/.20,000.00) a quinientos mil balboas (B/.500,000.00);
2. Suspensión del derecho a ejercer el comercio o explotar industrias, por un período de tres meses;
3. Suspensión o cancelación de la clave o permiso de operación otorgado por la administración de la Zona Libre de Colón, zona franca, zona procesadora para la exportación o zona especial existente en Panamá. En el caso de suspensión, esta se aplicara por un período mínimo de tres meses.
En caso de reincidencia, las sanciones contempladas en los numerales 2 y 3 del presente artículo, se aplicarán por un periodo de un año, y la sanción contemplada en el numeral 1 podrá ser hasta cuatro veces la multa máxima allí establecida, sin perjuicio de lo dispuesto en la ley que regule la explotación del comercio y la industria.
Parágrafo 1. El juez penal impondrá las sanciones contempladas en los numerales 2 y 3 de este artículo.
Parágrafo 2. En cuanto a la sanción establecida en el numeral 1 de este artículo, para el caso de vendedores ambulantes o los que ejerzan la buhonería, la multa será de quinientos balboas (B/.500.00) a cinco mil balboas (B/.5,000.00)”.

Artículo 16.

El artículo 173 de la Ley 35 de 1996 queda así:

“Artículo 173. En los casos de delitos contra el derecho de autor y derechos conexos, y contra los derechos de propiedad industrial, obtenciones vegetales y derechos colectivos de propiedad intelectual, el Ministerio Público instruirá sumario de oficio, cuando por cualquier medio tenga noticia de la comisión de tales delitos.
La autoridad competente adoptará de inmediato, todas las medidas cautelares necesarias para asegurar el eficaz ejercicio de la acción penal, incluyendo, entre otras, la aprehensión provisional de bienes objeto de la investigación, así como de los medios utilizados en la comisión del hecho punible.
Parágrafo. En cualquier instancia de este procedimiento penal, antes de que medie sentencia en firme, el Juez o el Tribunal ordenará que se dé por terminado el proceso y se archive el expediente, cuando así lo soliciten conjuntamente el titular del derecho y el imputado”.

Artículo 17.

La presente ley modifica los artículos 382,383, 384 y 389 del Código Penal, el numeral 13 del literal c del artículo 159 del Código Judicial y los artículos 165 y 173 de la Ley 35 de 10 de mayo de 1996, así como la denominación del Capítulo IV del Título XII, Libro II del Código Penal; adiciona los artículos 382-A, 382-B, 382-C, 382-D, 382-E, 382-F y 384-A al Código Penal y un párrafo final al artículo 2159 del Código Judicial, y deroga el artículo 385 del Código Penal y el artículo 126 de la Ley 15 de 8 de agosto de 1994.

Artículo 18.

Esta Ley comenzará a regir desde su promulgación.

COMUNÍQUESE Y CÚMPLASE.

Aprobada en tercer debate en el Palacio Justo Arosemena, ciudad de Panamá, a los 18 días del mes de noviembre del año dos mil tres.

El Presidente, Jacobo L. Salas Diaz

El Secretario General Encargado, Edwin E. Cabrera U.

Órgano Ejecutivo Nacional..

Presidencia de la República.

República de Panamá, 5 de Enero de 2004.

Mireya Moscoso Presidenta de la República

Arnulfo Escalona Avila Ministro de Gobierno y Justicia

Certain Information Society Services Act

Parliament has resolved upon the following Act of the Czech Republic:

PART ONE. CERTAIN INFORMATION SOCIETY SERVICES

Section 1. Subject

The present act shall govern, in accordance with the law of the European Communities (1), the liability and rights and obligations of persons providing information society services and disseminating commercial communications.

Section 2. For the purposes of the present act

a) information society service shall mean any service provided by electronic means at the individual request of a user submitted by electronic means, normally provided for remuneration; a service shall be provided by electronic means if it is sent via an electronic communication network and collected by the user from electronic equipment for the storage of data;

b) electronic mail shall mean a text, voice, sound or image message sent over a public electronic communication network which may be stored in the network or in the user’s terminal equipment until it is collected by the user;

c) electronic means shall mean in particular an electronic communication network, telecommunications terminal equipment and electronic mail;

d) service provider shall mean any natural or legal person providing an information society service;

e) user shall mean any natural or legal person who uses an information society service, in particular for the purposes of seeking information or making it accessible;

f) commercial communication shall mean any form of communication designed to promote, directly or indirectly, the goods, services or image of an enterprise, a natural or legal person who pursues a regulated activity (2) or is an entrepreneur pursuing an activity (3) that is not a regulated activity; also advertising under a special legal regulation (4) shall be deemed to be commercial communication. Data allowing direct access to the activity of a legal or natural person, in particular a domain name or an electronic-mail address shall not be deemed to be commercial communication; further, data relating to the goods, services or image of a natural or legal person or an enterprise acquired in an independent manner by the user shall not be deemed to be commercial communication;

g) automatic, intermediate and transient storage shall mean storage of information provided by the user that takes place for the sole purpose of carrying out the transmission in an electronic communication network, and the information is not stored for any period longer than is usual in order to carry out the transmission;

h) automatic, intermediate and temporary storage shall mean storage of information provided by the user that is performed for the sole purpose of making more efficient the information’s onward transmission upon request of other users.

Liability of intermediary service providers

Section 3. Liability of the service provider for the contents of the information transmitted

(1) A provider of a service that consists of the transmission in an electronic communication network of information provided by a user, or the provision of access to electronic communication networks for the purpose of information transmission, shall be liable for the contents of the information transmitted only if he

a) initiates the transmission;

b) selects the user of the information transmitted; or

c) selects or modifies the contents of the information transmitted.

(2) The acts of transmission and provision of access under paragraph 1 shall also include automatic, intermediate and transient storage of the information transmitted.

Section 4. Liability of the service provider for the contents of automatically, intermediately and temporarily stored information

A provider of a service that consists of the transmission of information provided by a user shall be liable for the contents of automatically, intermediately and temporarily stored information only if he

a) modifies the contents of the information;

b) fails to comply with conditions on access to the information;

c) fails to comply with rules regarding the updating of the information that are generally
recognised and used by the industry;

d) interferes with the lawful use of technology, generally recognised and used by industry, to obtain data on the use of the information; or

e) fails to take immediate measures resulting in a removal of or disablement of access to the information he has stored upon obtaining knowledge of the fact that the information at the initial source of the transmission has been removed from the network, or access to it has been disabled, or that a court has ordered removal of or disablement of access to such information.

Section 5. Liability of the service provider for the storage of information provided by a user

(1) A provider of a service that consists of the storage of information provided by a user, shall be responsible for the contents of the information stored at the request of a user only if he

a) could, with regard to the subject of his activity and the circumstances and nature of the case, know that the contents of the information stored or action of the user are illegal; or

b) having, in a provable manner, obtained knowledge of illegal nature of the information stored or illegal action of the user, failed to take, without delay, all measures, that could be required, to remove or disable access to such information.

(2) A service provider referred to in paragraph 1 shall always be responsible for the contents of the information stored if he exerts, directly or indirectly, decisive influence on the user’s activity.

Section 6. Extent of the provider’s obligations

Service providers referred to in Sections 3 to 5 shall not be obliged to

a) monitor the contents of the information which they transmit or store;

b) actively seek facts or circumstances indicating to illegal contents of information.

Dissemination of commercial communications

Section 7

(1) Where a natural or legal person obtains from its customer his electronic contact details for electronic mail under a special legal regulation (5), the same natural or legal person may use these electronic contact details to disseminate commercial communications only if the customer gave prior consent with such use of his electronic contact details, and clearly and distinctly is given the opportunity to refuse, free of charge or at the expense of the same natural or legal person, and in an easy manner, such use of his electronic contact details even on the occasion of being sent each individual message.

(2) Where it is not the case as under Section 1, it shall be prohibited to use electronic means to disseminate unsolicited commercial communications; unsolicited dissemination of commercial communications shall not be allowed without provable consent of the addressee.

(3) Sending of electronic mail for the purpose of dissemination of commercial communications shall be prohibited as long as

a) such electronic mail is not, clearly and distinctly, identified as commercial communication,

b) disguises or conceals the identity of the sender on whose behalf the communication is taking place, or

c) is sent without a valid address to which the addressee may, in a direct and effective manner, send information that he does not wish commercial information to be sent to him by the sender any longer.

Regulated professions

Section 8

(1) Persons exercising a regulated profession may, using electronic means, within activities that are subject to the regulated profession, disseminate commercial communications, in compliance with Section 7 and in compliance with the relevant rules issued by commercial, professional and consumer associations, governing in particular the independence, dignity, honour of the profession, and fairness towards customers.

(2) When disseminating commercial communications, using electronic means, within activities that are subject to a regulated profession, persons exercising a regulated profession who are not members of professional self-governing chambers established by statute shall proceed in accordance with Section 7.

(3) Commercial communications from persons exercising a regulated profession must contain the name of the professional self-governing chamber established by statute with which the person exercising a regulated profession is registered, a reference to the professional rules applied in the member state of the European Union in which the person exercising a regulated profession is established, and the manner of permanent access to information about the relevant professional self-governing chamber established by statute which the person exercising a regulated profession is a member of.

Internal market

Section 9

(1) Provisions of the present act and of special legal regulations governing the conditions for starting and conduct of an activity which is subject to the service provided, in particular of legal regulations governing the origination of a business licence, requirements for professional competence, requirements for contents and quality of the service provided, and liability of the service provider for breach of those obligations shall apply to a service provider who provides services through a business or branch located on the territory of the Czech Republic.

(2) Unless provided otherwise in the present act or a special legal regulation, the legal regulations referred to in paragraph 1 shall not apply to a service provider established in another member state of the European Union and providing the service on the territory of the Czech Republic.

(3) The provisions of paragraph 2 shall be without prejudice to the obligations of a service provider arising out of special legal regulations concerning the protection of public order, public health, state security and consumer protection.

(4) Before a court or another authority with the jurisdiction to provide for fulfilment or enforcement of obligations of a service provider arising out of special legal regulations concerning the protection of public order, public health, state security and consumer protection takes the necessary measures, it shall inform the Commission of the European Communities (hereinafter referred to as “Commission”) thereof and request the member state of the European Union in which the service provider is established to take measures resulting in the court no longer having to take measures under the present paragraph.

(5) If the court deviates from paragraph 4 in urgent cases, it shall, without unnecessary delay, give the Commission and the member state of the European Union, in which the service provider is established, information and justification thereof.

Supervision of compliance

Section 10

(1) The authority competent to carry out supervision of compliance with the present act (hereinafter referred to as “supervisory authority”) shall be

a) the Personal Data Protection Office, in relation to the dissemination of commercial communications under Section 7;

b) the relevant professional self-governing chamber established by statute, in relation to obligations arising out of Section 8 paragraph 3.

(2) The supervisory authority shall act as a contact point for member states of the European Union and for the Commission.

(3) A contact point for member states of the European Union and for the Commission shall

a) provide general information on contractual rights and obligations as well as on the complaint and redress procedures in the event of disputes, including practical aspects involved in the use of such procedures;

b) provide the details of authorities, associations or entities from which further information or practical assistance may be obtained.

(4) The supervisory authority referred to in paragraph 1 (a) shall carry out the supervision under a special legal regulation (6).

(5) The supervisory authorities referred to in paragraph 1 (b) shall carry out the supervision under special legal regulations (7).

Administrative delicts

Section 11

(1) A fine of up to CZK 10 000 000 shall be imposed on a legal person that

a) uses electronic means to disseminate unsolicited commercial communications;

b) used the electronic contact details for electronic mail under a special legal regulation (5) and did not give its customer the opportunity clearly and distinctly, free of charge or at its expense, and in an easy manner, to grant or refuse consent with the use of his electronic contact details for the purposes of disseminating commercial communications on the occasion of sending of each individual message;

c) disseminated commercial communications without provable consent of the addressee;

d) sent electronic mail for the purposes of disseminating commercial communications that was not clearly and distinctly identifiable as such;

e) sent electronic mail for the purposes of disseminating commercial communications that disguised the identity of the sender on whose behalf the communication was made;

f) sent electronic mail for the purposes of disseminating commercial communications that concealed the identity of the sender on whose behalf the communication was made; or

g) sent electronic mail for the purposes of disseminating commercial communications that gave an invalid address to which the addressee might send a request for termination of such communication.

(2) A fine of up to CZK 1 000 000 shall be imposed on a legal person that

a) exercises a regulated profession and its commercial communication does not contain the name of the professional self-governing chamber established by statute with which it is registered;

b) exercises a regulated activity and its commercial communication does not contain a reference to the professional rules applied in the member state of the European Union in which it is established; or

c) exercises a regulated activity and its commercial communication does not contain the manner of permanent public access to information on the relevant professional selfgoverning chamber established by statute of which it is a member.

Section 12

(1) A legal person shall not be responsible for an administrative delict if it proves that it made every effort that could be required to prevent the breach of a legal obligation.

(2) The seriousness of the administrative delict, in particular the manner of how it was committed and its consequences, and the circumstances under which it was committed, shall be considered when determining the extent of the fine for a legal person.

(3) The liability of a legal person for an administrative delict shall terminate unless a supervisory authority commences proceedings concerning the delict within one year of obtaining knowledge of it, at the latest, however, within three years of the day it was committed.

(4) Provisions of the present act as to the liability of and penalties to a legal person shall apply to liability for action taken in the conduct of business by a natural person (8) or in direct relation thereto.

(5) Fines shall be imposed and collected by the supervisory authority and enforced by the territorial financial authority under a special legal regulation (9). Proceeds of fines, even of the enforced fines, shall be an income of the budget from which the operation of the supervisory authority which imposed the fine is funded.

General provisions

Section 13

(1) A procedure under a special legal regulation9) shall be applied to collect and enforce the fines.

(2) Unless provided otherwise in the present act, the Rules of Administrative Procedure shall apply to procedure concerning matters governed by the present act (10).

PART TWO. Amendment to the Civil Code

Section 14

The Act nº 40/1964 Coll., Civil Code, as amended by the Act nº 58/1969 Coll., Act nº 131/1982 Coll., Act nº 94/1988 Coll., Act nº 188/1988 Coll., Act nº 87/1990 Coll., Act nº 105/1990 Coll., Act nº 116/1990 Coll., Act nº 87/1991 Coll., Act nº 509/1991 Coll., Act nº 264/1992 Coll., Act nº 267/1994 Coll., Act nº 104/1995 Coll., Act nº 118/1995 Coll., Act nº 94/1996 Coll., Act nº 227/1997 Coll., Act nº 91/1998 Coll., Act nº 165/1998 Coll., Act nº 159/1999 Coll., Act nº 363/1999 Coll., Act nº 27/2000 Coll., Act nº 103/2000 Coll., Act nº 159/1999 Coll., 227/2000 Coll., Act nº 367/2000 Coll., Act nº 229/2001 Coll., Act nº 501/2001 Coll., Act nº 317/2001 Coll., Act nº 125/2002 Coll., Act nº 135/2002 Coll., 136/2002 Coll., 320/2002 Coll., Act nº 476/2002 Coll., Act nº 88/2003 Coll., Act nº 135/2002 Coll., Act nº 37/2004 Coll., Act. nº 47/2004 Coll., and Judgment of the Constitutional Court published as nº 278/2004 Coll., shall be amended as follows:
.

1. Paragraph 4 of Section 53 shall read:

“(4) When dealing via a means of remote communication, the consumer has to be provided, in sufficient time before concluding the contract, particularly with the following information:

a) trade name or names and surname and identification number of the supplier, registered office of a legal person and place of residence of a natural person, in case of a foreign person also address of the enterprise or branch on the territory of the Czech Republic, if they have been established, data on the registration in the Commercial Register or a similar register, including the file number, if assigned, and contact details, particularly postal delivery address, telephone number, possibly electronic mail delivery address;

b) data on the relevant controlling authority, if the activity of the supplier is subject to authorisation;

c) name and main characteristics of goods or services;

d) price of goods or services unambiguously indicating whether it is given inclusive of all taxes and charges if they are to be added to it;

e) delivery costs;

f) method of payment, delivery or supply;

g) advice of the right to withdraw, with the exception of cases under paragraph 8;

h) costs of use of means of remote communication;

i) period for which the offer or price remains valid.

The supplier shall provide permanent public access to information under a) and b), failure to meet the obligation shall be deemed to be failure to provide information under Section 53 paragraph 7.”.

2. A new paragraph 5 shall be inserted after paragraph 4 of Section 53, and it shall read:

“(5) If the consumer places his order through one of the means of remote communication, the supplier shall be obliged, through one of the means of remote communication, without delay, to acknowledge its receipt; that shall not apply where a contract is concluded exclusively by exchange of electronic mail or equivalent individual communication. The order and the acknowledgement of its receipt shall be deemed to be received when the parties to whom they are addressed are able to access them.”.

The paragraphs so far identified as 5 to 8 shall be identified as 6 to 9.

3. In Section 53 paragraph 7, the words “under provisions of paragraphs 4 and 5” shall be replaced by the words “under provisions of paragraphs 4 and 6”.

4. In Section 53 paragraph 8, the words “under paragraph 6” shall be replaced by the words “under paragraph 7”.

5. A new Section 53a shall be inserted after Section 53, and it shall read, including footnote 2c (11):

“Section 53a

(1) Where electronic means are used, the proposal must contain, apart from information under Section 53 paragraph 3, also information on whether the contract is going to be archived by the supplier after conclusion and whether it is accessible, information on the different technical steps leading to the conclusion of the contract, information on languages in which the contract may be concluded, information on the possibility to identify and correct input errors made before the order is placed, and information on codes of conduct which are binding on him or which he observes voluntarily; that shall not apply where a contract is concluded exclusively by exchange of electronic mail or equivalent individual communication.

(2) When using electronic means, the consumer has to be allowed, prior to the placing of the order, to review and change input data contained therein that he had inserted in the order; that shall not apply to contacts made exclusively by exchange of electronic mail or equivalent individual communication.

(3) The contract and general terms and conditions must be made available to the consumer in a way that allows him to archive and reproduce them.

(4) Section 53 paragraph 7 shall similarly apply to withdrawal from contract.

6. In Section 54, the words “under Section 53 paragraphs 2 to 8” shall be replaced by the words “under Section 53 paragraphs 2 to 9 and Section 53a”.

PART THREE. Amendment to the Advertising Regulation Act

Section 15

The Act nº 40/1995 Coll., on the regulation of advertising and on the amendment to the Act nº 468/1991 Coll., on the operation of radio and television broadcasting, as subsequently amended by the Act nº 258/2000 Coll., Act nº 231/2001 Coll., Act nº 256/2001 Coll., Act nº 138/2002 Coll., Act nº 320/2002 Coll., Act nº 132/2003 Coll., Act nº 217/2004 Coll., and Act nº 326/2004 Coll., shall be amended as follows:

1. In Section 2 paragraph 1, letter (e), including footnote 5a), shall read:

“e) dissemination of unsolicited advertising, if it causes a cost on the part of the addressee or if it harasses the addressee; dissemination of advertising by electronic means and its limitations shall be governed by a special legal regulation5a); such advertising shall be deemed harassing that is targeted at a specific addressee on condition that the addressee made it clear and comprehensible in advance that he did not wish any unsolicited advertising to be disseminated with respect to him.”

2. In Section 7 (d) the words

“, with the exception of unsolicited advertising disseminated by electronic means32a) under a special legal regulation5a)” shall be inserted after the words “in other cases”.

Footnote nº 32a shall read:

“32a) Section 2 (c) of the Act nº …/2004 Coll., on certain information society services and on the amendment to certain other acts (Certain Information Society Services Act).”.

PART FOUR. Amendment to the act on personal data protection and on the amendment to certain other acts

Section 16

The words “and other competencies set out in a special legal regulation1)” shall be added to the end of the text of paragraph 2 of Section 2 of the Act nº 101/2000 Coll., on personal data protection and on the amendment to certain other acts.

Footnote nº 1 shall read:

“1) Section 10 paragraph 1 (a) of the Act. nº …/2004 Coll., on certain information society services and on the amendment to certain other acts (Certain Information Society Services Act).”.

PART FIVE

Section 17. Amendment to the act on health care in non-governmental health-care facilities

The following new Section 21b shall be inserted in the Act nº 160/1992 Coll., on health care in non-governmental health-care facilities, as amended by the Act nº 161/1993 Coll., Act nº 258/2000 Coll., Act nº 285/2002 Coll., Act nº 320/2002 Coll., Act nº 96/2004 Coll., and Act nº 121/2004 Coll.:

“Section 21b
Operators of non-governmental health-care facilities who are natural persons and kept their books by single entry by December 31, 2003, will comply with their statutory obligation under Section 5 (2) (e) of the Act nº 160/1992 Coll., as effective before the date of effect of the Act nº 121/2004 Coll., if they keep their tax records or books in accordance with a special legal regulation.”.

PART SIX. EFFECT

Section 18

The present act shall come into effect on the date of its publication.
—————————————————————————————————

(1) Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain aspects of information society services, in particular electronic commerce, in the Internal Market.
Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector.

(2) Section 3 (f) and (g) of the Act nº 18/2004 Coll., on the recognition of professional qualifications and other competencies of nationals of member states of the European Union and on the amendment to certain other acts (Professional Qualifications Recognition Act).

(3) Section 2 paragraph 2 of the Commercial Code.

(4) Act nº 40/1995 Coll., on the regulation of advertising and the amendment to the Act nº 468/1991 Coll., on the operation of radio and television broadcasting, as subsequently amended.

(5) Act nº 101/2000 Coll., on personal data protection and on the amendment to certain other acts, as subsequently amended.

(6) Act nº 552/1991 Coll., on state audit, as subsequently amended.

(7) For instance the Act nº 254/2000 Coll., on auditors, as subsequently amended, Act. nº 523/1992 Coll., on tax consultancy and the Chamber of Tax Advisors of the Czech Republic, as subsequently amended, Act nº 220/1991 Coll., on the Czech Medical Chamber, Czech Dental Chamber and Czech Pharmacists’Chamber, Act. nº 85/1996 Coll., on the legal profession, as subsequently amended.

(8) Section 2 paragraph 2 of the Act nº 513/1991 Coll., Commercial Code, as subsequently amended.

(9) Act nº 337/1992 Coll., on the administration of taxes and fees, as subsequently amended.

(10) Act nº 71/1967 Coll., on administrative procedure (Rules of Administrative Procedure), as subsequently amended

(11) Section 2 (c) of the Act Nº. ../2004 Coll., on certain information society services and on the amendment to certain other acts (Certain Information Society Services Act).”.

Resolución Ministerial nº 0285-2005/PCM del 12 de agosto de 2005 que crea la Comisión Multisectorial de Políticas del Sistema de Nombres de Dominio

CONSIDERANDO:

Que, por Resolución Suprema nº 292-2001-RE se constituyó la Comisión Multisectorial encargada de definir las políticas y lineamientos para la administración del nombre de dominio (country code Top Level Domain – ccTLD) correspondiente al Perú;

Que, medinte Resolución Ministerial nº 181-2003-PCM se creó la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI, adscrita a la Presidencia del Consejo de Ministros, la cual tiene entre sus funciones la promoción y ejecución de programas que promuevan la seguridad en el uso de internet, de las telecomunicaciones y de las tecnologías de la información por parte del Estado, con la finalidad de fomentar el desarrollo de la Sociedad de la Información en beneficio de las personas, elaborando el Plan para el Desarrollo de la Sociedad de la Información en el Perú;

Que, de acuerdo con el inciso 1 del artículo 25 del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado por el Decreto Supremo nº 067-2003-PCM, es función de la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI proponer la Política Nacional de Gobierno Electrónico e Informática del Estado en concordancia con el Plan para el Desarrollo de la Sociedad de la Información en el Perú antes mencionado;

Que, la Comision Multisectorial constituida por Resolución Suprema nº 292-2001-RE cumplió con elaborar un informe final en el que se definen las políticas y lineamientos para la administración del nombre de dominio correspondientes al ccTLD .pe a cargo de la Red Científica Peruana – RCP, por lo que corresponde dar contuidad al trabajo por dicha Comisión Multisectorial, implementando una instancia de carácter permanente encargada de elaborar y revisar dichas políticas y lineamientos;

Que, la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI, ha recomendado la creación de la Comisión Multisectorial de Políticas del Sistema de Nombres de Dominio con carácter de permanente;

De conformidad con lo dispuesto en el Decreto Ley nº 21292, la Ley nº 27594 y el Decreto supremo nº 067-2003-PCM;

SE RESUELVE

Artículo 1º. Constitución de Comisión Multisectorial
Constituir la Comisión Multisectorial de Políticas del Sistema de Nombres de Dominio, de carácter permanente, encargada de elaborar y revisar las políticas y lineamientos para el desarrollo del Sistema Peruano de Nombres de Dominio en lo que respecta a los Nombres de Dominio Peruanos (ccTLD .pe), adscrita a la Presidencia del Consejo de Ministros.

Artículo 2º. Conformación de Comisión Multisectorial
La Comisión Multisectorial que se constituye mediante el artículo precedente estará integrada por:

– El Jefe de la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros, o un representante, quien la presidirá;
– Un (1) representante del Ministerio de Transportes y Comunicaciones;
– Un (1) representante del Instituto Nacional de Defensa de la Competencia y de la protección de la Propiedad Intelectual – INDECOPI;
– Un (1) representante del Organismo Supervisor de la Inversión Privada en Telecomunicaciones – OSIPTEL;
– Un (1) representante del Network Access Point – NAP Perú; y, – Un (1) representante de la Red Científica Peruana- RCP, quien ejercerá la Secretaría Técnica de la Comisión Multisectorial.

Otras instituciones podrán ser representadas ante la Comisión Multisectorial previa invitación de ésta; acreditando para ello un representante titular y un suplente, quienes serán designados siguiendo la formalidad establecida en el artículo siguiente de la presente Resolución Ministerial.

Artículo 3º. Designación de representantes ante la Comisión Multisectorial
Las entidades estatales designarán mediante Resolución del Titular del Sector correspondiente, un representante titular y un representante alterno dentro del plazo de tres (3) días hábiles contados a partir del día siguiente de publicación de la presente Resolución.

Las entidades no estatales acreditarán a un representante titular y alterno mediatne comunicación dirigida al Presidente del Consejo de Ministros, quien expedirá la Resolución Ministerial de designación correspondiente.

Artículo 4º. Funciones de la Comisión Multisectorial
Son funciones de la Comisión Multisectorial:

– Establecer directrices relacionadas al uso y desarrollo de los nombres de dominio peruanos dentro del ccTLD .pe
– Promover que la administración del ccTLD .pe se realice en condiciones de eficiencia, transparencia, neutralidad, universalización de acceso, participación y armonía con el sistema de derechos de propiedad intelectual y otros derechos.
– Promover la adopción de estándres y recomendaciones formuladas en organismos internacionales en la administración del ccTLD .pe
– Promover la realización de estudios, encuestas y análisis de los resultados de éstas, relacionadas al sistema peruano de nombres de dominio dentro del ccTLD .pe
– Promover y difundir el uso de los nomrbes de dominio del ccTLD .pe
– Elaborar, aprobar, y modificar su reglamento de funcionamiento.
– Promover la participación en el Sistema Peruano de Nombres de Dominio de los representantes de la comunidad nacional de Internet, conformada – entre otros – por proveedores de acceso a Internet, portales y empresas de contenido Internet, empresas de telecomunicaciones, estudios de abogados especializados en temas de Internet y/o relacionados con éste, asociaciones de usuarios, académicos destacados del tema y el uso de las TICs, así como instituciones académicas, con el propósito de recoger sus opiniones a efectos de mantener actualizadas las políticas y los lineamientos para la asignación de dominios ccTLD .pe

Artículo 5º. Deberes de la Comisión Multisectorial
La Comisión Multisectorial que se constituye por la presente Resolución deberá:

– Instalarse en un plazo que no excederá de diez (10) dias hábiles contados a partir del día siguiente de publicación de la presente Resolución
– Elevar Informes anuales al Presidente del Consejo de Ministros sobre el cumplimiento de su labor.

Artículo 6º. Concurso de profesionales
La Comisión Multisecotrial podrá solicitar el aporte y apoyo de profesionales expertos en la materia para el cumplimiento de la labor encomendada. El apoyo que reciba la Comisión Multisectorial será ad honorem

Artículo 7º. Gastos
El funcionamiento de la Comisión Multisectorial no irrogará gastos al Tesoro Público.

Instructivo Sobre el Procedimiento para la Emisión, Colocación, Custodia y Manejo de los Certificados Especiales de Reintegro Tributario (CERT) en Custodia Electrónica. (Gaceta Oficial nº 37.898 del 15 de marzo de 2004).

REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DE FINANZAS

Caracas, 15 de marzo de 2004
193° y 145°

RESOLUCIÓN nº 1.534

De conformidad con lo establecido en los numerales 1, 3 del artículo 8 del Decreto sobre Organización y Funcionamiento de la Administración Pública Central, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela nº 37.672 del 15 de abril de 2003, en concordancia con lo dispuesto en los artículos 43, 45 y 68 de la Ley que establece el Impuesto al Valor Agregado, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela nº 5.601 del 30 de agosto de 2001 y en el artículo 16 del Reglamento Parcial nº 1 de la Ley que establece el Impuesto al Valor Agregado, en materia de Recuperación de Créditos Fiscales para Contribuyentes Exportadores, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela nº 37.794 de fecha 10 de octubre de 2003, con lo establecido en la Resolución nº 1.519 publicada en la Gaceta Oficial de la República Bolivariana de Venezuela nº 37.875 de fecha 9 de febrero de 2004, y con lo previsto en el artículo 16 de la Ley Orgánica de Procedimientos Administrativos, este Despacho,

RESUELVE
Dictar el siguiente:

INSTRUCTIVO SOBRE EL PROCEDIMIENTO PARA LA EMISIÓN, COLOCACIÓN, CUSTODIA Y MANEJO DE LOS CERTIFICADOS ESPECIALES DE REINTEGRO TRIBUTARIO (CERT) EN CUSTODIA ELECTRÓNICA

Capítulo I. Disposiciones Generales

Artículo 1
El presente Instructivo tiene por objeto regular la emisión, colocación, custodia y manejo de los Certificados Especiales de Reintegro Tributario (CERT) destinados a la recuperación de créditos fiscales para contribuyentes exportadores, por concepto de impuesto al valor agregado (IVA).

Artículo 2
A los efectos del presente Instructivo, se entenderá por:
• Banco o Institución Custodio(a) de Valores: Área operativa de una Institución Financiera registrada en el Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela y seleccionada por el Contribuyente para recibir la colocación de los Certificados Especiales de Reintegro Tributario (CERT) por parte del Banco Central de Venezuela.
• Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela: Sistema automatizado que permitirá el control y seguimiento de las operaciones, en materia de ingreso, traspaso, pago y vencimiento que se realicen con los Certificados Especiales de Reintegro Tributario (CERT) que emita la República.
• Área Receptora de Valores en Custodia: Área de una Institución Financiera registrada en el Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela, que recibe la transferencia de los Certificados Especiales de Reintegro Tributario (CERT).
• Área Recaudadora de Pagos de Tributos o Taquilla Recaudadora: Área de la Institución autorizada mediante el respectivo Contrato de Recaudación para recibir Certificados Especiales de Reintegro Tributario (CERT) en custodia electrónica como forma de pago de tributos nacionales, intereses, multas, costas procesales o cualquier otro accesorio de la obligación tributaria principal.
• Beneficiarios: Contribuyentes sujetos a los regímenes de recuperación que establece la Ley del Impuesto al Consumo Suntuario y a las Ventas al Mayor o la Ley del Impuesto al Valor Agregado.
• Certificados Especiales de Reintegro Tributario (CERT): Títulos emitidos por la República en forma electrónica, a través del Ministerio de Finanzas, a los efectos de la recuperación prevista en la Ley del Impuesto al Valor Agregado. Los CERT son títulos negociables, que no devengan intereses, y cuyo plazo de vigencia no será mayor de dos (2) años a partir de la fecha de su colocación. Los CERT deben ser registrados en el Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela, y pueden ser utilizados por los contribuyentes para el pago de tributos nacionales, intereses, multas, costas procesales o cualquier otro accesorio de la obligación tributaria principal.

Capítulo II. Del Procedimiento de Emisión, Colocación, Custodia y Manejo de los Certificados Especiales de Reintegro Tributario (CERT) en Custodia Electrónica

Artículo 3
Para la emisión y colocación de Certificados Especiales de Reintegro Tributarios por parte del Ministerio de Finanzas, el Superintendente Nacional Aduanero y Tributario, deberá remitir al Ministerio de Finanzas, copias certificadas de las Providencias Administrativas, que acuerden total o parcialmente la recuperación de los créditos fiscales a favor del Beneficiario emitidas por las Gerencias Regionales de Tributos Internos de ese Servicio, así como toda la información requerida de acuerdo con la Resolución nº 1.519 publicada en la Gaceta Oficial de la República Bolivariana de Venezuela nº 37.875 de fecha 9 de febrero de 2004.
Los Beneficiarios, previa obtención de la precitada Providencia, deberán designar por escrito, ante el Ministerio de Finanzas, la Institución Custodia de Valores. Esta designación deberá estar acompañada de la aceptación efectuada por la Institución Custodia de Valores, en la que se comprometa a recibir la colocación de Certificados Especiales de Reintegro Tributario (CERT) que efectúe el Banco Central de Venezuela.

Artículo 4
Las Providencias Administrativas que acuerden total o parcialmente la recuperación de créditos fiscales deberán indicar que: “la misma se emite sólo a los fines de notificar dicho acuerdo y en ningún caso podrá utilizarse para la compensación o cesión de los créditos fiscales en ella referidos”.

Artículo 5
El Ministerio de Finanzas, previa verificación y registro de la documentación remitida por el Servicio Nacional Integrado de Administración Aduanera y Tributaria (SENIAT), procederá a emitir los Certificados Especiales de Reintegro Tributario (CERT), mediante Resoluciones.

Artículo 6
El Ministerio de Finanzas, dará instrucciones al Banco Central de Venezuela, a través de las cuales autorizará la colocación de los Certificados Especiales de Reintegro Tributario (CERT), estableciendo en dichas instrucciones la identificación de los Beneficiarios, así como el domicilio fiscal, número de registro de información fiscal (RIF), número y fecha de la Providencia Administrativa que acuerda la recuperación, el monto otorgado, la Institución Custodia de Valores designada por el Beneficiario, número de la Resolución a que se hace referencia en el Artículo 5 de esta Resolución, la fecha valor y la fecha de vencimiento de los Certificados Especiales de Reintegro Tributario (CERT).

Artículo 8
El Banco Central de Venezuela, una vez recibida la instrucción del Ministerio de Finanzas, deberá realizar la colocación de los Certificados Especiales de Reintegro Tributario (CERT) a las Instituciones Custodias de Valores designadas por los Beneficiarios y registradas en el Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela, en la cuenta custodia correspondiente a personas jurídicas domiciliadas en la República Bolivariana de Venezuela y conforme al cronograma de colocación que indique el Ministerio de Finanzas. El Banco Central de Venezuela deberá informar a la Institución Custodia de Valores la transferencia de los Certificados Especiales de Reintegro Tributario (CERT) realizada, así como los datos del Beneficiario indicados en la instrucción anteriormente señalada.

Artículo 9
El Banco Central de Venezuela deberá informar semanalmente al Ministerio de Finanzas los Certificados Especiales de Reintegro Tributario (CERT) que han sido efectivamente colocados en las Instituciones Custodias de Valores.

Artículo 10
Una vez que el Ministerio de Finanzas haya emitido la instrucción de colocación y el Banco Central de Venezuela haya efectivamente colocado los Certificados Especiales de Reintegro Tributario (CERT) en la Institución Custodia de Valores designada por el Beneficiario, éste quedará autorizado para disponer de dichos Certificados Especiales de Reintegro Tributario (CERT) hasta por la cantidad indicada en la Providencia Administrativa que acuerde total o parcialmente la recuperación de créditos fiscales, a los fines de efectuar el pago de tributos nacionales, intereses, multas, costas procesales o cualquier otro accesorio de la obligación tributaria principal o ceder los Certificados Especiales de Reintegro Tributario (CERT).
A tales efectos, el Beneficiario deberá presentar ante la Institución Custodia de Valores designada, el original de la Providencia Administrativa que acuerde total o parcialmente la recuperación de los créditos fiscales. La Institución Custodia de Valores deberá efectuar la debida confrontación entre el original de la Providencia Administrativa que presente el Beneficiario y la información remitida por el Banco Central de Venezuela, de acuerdo con la instrucción emanada del Ministerio de Finanzas.

Artículo 11
El Beneficiario podrá ceder total o parcialmente los Certificados Especiales de Reintegro Tributario (CERT) a favor de otro contribuyente, quien se constituirá en cesionario de la operación. A los efectos que se perfeccione la cesión, el Beneficiario deberá informar a su Institución Custodia de Valores, el nombre del cesionario, el número de Registro de Información Fiscal (RIF), el monto cedido, la identificación de los Certificados Especiales de Reintegro Tributario (CERT) sujeto a cesión y el Área Receptora de Valores en Custodia designada por el cesionario.

Artículo 12
Para todos los efectos, el pago de tributos nacionales, intereses, multas, costas procesales o cualquier otro accesorio de la obligación tributaria principal, mediante Certificados Especiales de Reintegro Tributario (CERT), se realizará únicamente en un Área Recaudadora de Pagos de Tributos o en una Taquilla Recaudadora autorizada mediante Contrato de Recaudación.

Artículo 13
En los casos en que la Institución Custodia de Valores y el Área Recaudadora de Pagos de Tributos o Taquilla Recaudadora, formen parte de una misma Institución, el Beneficiario o el Cesionario en cualquier grado, a los efectos de realizar el pago mediante los Certificados Especiales de Reintegro Tributario (CERT), instruirá al Área Custodia de Valores iniciar el procedimiento de pago, informándole lo siguiente:
a) Número de la planilla con la cual realizará el pago.
b) Identificación del número de RIF del contribuyente.
c) Monto de los Certificados Especiales de Reintegro Tributario (CERT) a utilizar en la realización del pago.
d) Monto total del pago, discriminando las modalidades de pago.
e) Tributo a pagar.
f) Fecha de pago.
g) Identificación de la oficina bancaria o taquilla recaudadora donde se realizará el pago.
El Área de Custodia de Valores informará al Área Recaudadora el número de transacción en el Sistema de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela.
La instrucción de iniciar el procedimiento de pago deberá realizarse al menos con setenta y dos (72) horas de anticipación al momento en que se estime realizar el pago.
El Área Recaudadora de la Institución correspondiente, deberá constatar la información suministrada por el contribuyente antes de aceptar el pago y verificar si los Certificados Especiales de Reintegro Tributario (CERT) pueden ser utilizados para tal fin.
El Área Recaudadora no podrá aceptar el pago aquí señalado, si éste no cumple con la normativa establecida en este Instructivo así como las señaladas en los Contratos Bancarios de Recaudación.

Artículo 14
En los casos en que la Institución Custodia de Valores y el Área Recaudadora de Pagos de Tributos o Taquilla Recaudadora, no formen parte de una misma Institución, el Beneficiario o cesionario en cualquier grado deberá solicitar a su Institución Custodia de Valores, a los efectos de realizar el pago, la transferencia total o parcial de los Certificados Especiales de Reintegro Tributario (CERT) al Área Receptora de Valores en Custodia de la Institución donde el contribuyente realizará el pago de tributos.
A tal efecto, el contribuyente deberá informar a la Institución Custodia de Valores, al momento de solicitar la transferencia de los Certificados Especiales de Reintegro Tributario (CERT) lo siguiente:
a) Número de la planilla con la cual realizará el pago.
b) Identificación del número de RIF del contribuyente.
c) Monto de los Certificados Especiales de Reintegro Tributario (CERT) a utilizar en la realización del pago.
d) Monto total del pago, discriminando las modalidades de pago.
e) Tributo a pagar.
f) Identificación de la oficina bancaria o taquilla recaudadora donde se realizará el pago.
g) Fecha de pago.
Adicionalmente, la Institución Custodia de Valores deberá informar al Área Receptora de Valores en Custodia de la Institución en la cual el contribuyente efectuará el pago, el número de transacción en el Sistema Integrado de Custodia Electrónica de Títulos (SICET) del Banco Central de Venezuela.
La transferencia de Certificados Especiales de Reintegro Tributario (CERT) debe realizarse al menos con setenta y dos (72) horas de anticipación al momento en que se estime realizar el pago.
El Área Recaudadora de la Institución correspondiente, deberá constatar la información suministrada por el contribuyente antes de aceptar el pago y verificar si los Certificados Especiales de Reintegro Tributario (CERT) pueden ser utilizados para tal fin.
El Área Recaudadora no podrá aceptar el pago aquí señalado, si éste no cumple con la normativa establecida en este Instructivo así como las señaladas en los Contratos Bancarios de Recaudación.

Artículo 15
Los contribuyentes o cesionarios deberán llevar un registro especial y mantenerlo a disposición de la Administración Tributaria, en el cual se deberá dejar constancia de los cesionarios, con indicación de su nombre, razón o denominación social, número de registro de información fiscal (RIF), el monto de los Certificados Especiales de Reintegro Tributario (CERT) cedidos y la fecha de la cesión correspondiente.

Capítulo III. Disposiciones Finales

Artículo 16
El Banco Central de Venezuela deberá entregar a la Intendencia Nacional de Tributos Internos del Servicio Nacional Integrado de Administración Aduanera y Tributaria (SENIAT), en un plazo que no exceda a los cinco (5) días hábiles contados a partir de la publicación de este Instructivo en Gaceta Oficial de la República Bolivariana de Venezuela, las Providencias Administrativas que acuerden total o parcialmente la recuperación de los créditos fiscales a favor de los Beneficiarios que estén pendientes por colocar.
El Servicio Nacional Integrado de Administración Aduanera y Tributaria (SENIAT) deberá remitir al Ministerio de Finanzas la información respectiva a estas Providencias de acuerdo con el artículo 4 de la Resolución nº 1.519 publicada en la Gaceta Oficial de la República Bolivariana de Venezuela nº 37.875 de fecha 9 de febrero de 2004.

Artículo 17
A partir de la publicación de este Instructivo en Gaceta Oficial de la República Bolivariana de Venezuela, el Ministerio de Finanzas será el único Ente autorizado ante el Banco Central de Venezuela para girar instrucciones respecto a las colocaciones de los Certificados Especiales de Reintegro Tributario (CERT) a los Beneficiarios.

Artículo 18
El Ministerio de Finanzas, el Servicio Nacional Integrado de Administración Aduanera y Tributaria (SENIAT) y el Banco Central de Venezuela, quedan encargados de la ejecución y cumplimiento del presente Instructivo.

Artículo 19
El presente Instructivo entrará en vigencia a partir de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela y deroga cualquier Resolución o Instrucción publicada con anterioridad sobre la misma materia.
Comuníquese y publíquese.

TOBÍAS NÓBREGA
Ministro de Finanzas

La Universidad Externado de Colombia, convoca a todos los interesados en la Especialización “Documentación Digital Gestión del Conocimiento y de la Información” a efectuar su Inscripción antes del viernes 31 de octubre del presente año en la oficina de Admisiones de la Universidad Bloque A Piso 4°.

Mayor información, sobre requisitos de inscripción en la página
http://www.uexternado.edu.co, Posgrados de la Facultad de Derecho


PLAN DE ESTUDIOS

1 INTRODUCCIÓN A LA DOCUMENTACIÓN EN LA SOCIEDAD DE LA INFORMACIÓN Y DEL CONOCIMIENTO del 11 a 14 de Febrero

2 LA PLANIFICACIÓN Y GESTIÓN ESTRATÉGICA DE UNIDADES DE INFORMACIÓN del 18 a 21 de Marzo

3 CREACIÓN Y GESTIÓN DE RECURSOS DE INFORMACIÓN del 15 a 18 de Abril

4 EDICIÓN Y ORGANIZACIÓN DE RECURSOS DOCUMENTALES del 20 a 23 de Mayo

5 GESTIÓN DE HERRAMIENTAS APLICADAS A LA INFORMACIÓN del 17 a 20 de Junio

6 CREACIÓN Y GESTIÓN DE BIBLIOTECAS DIGITALES del 22 a 25 de Julio

7 SOCIEDAD DE LA INFORMACIÓN: POLÍTICA, TECNOLOGÍA E INDUSTRIA DE LOS CONTENIDOS del 19 a 22 de Agosto

8 DIFUSIÓN DEL DOCUMENTO ELECTRÓNICO EN EL ESPACIO COLABORATIVO del 23 a 26 de Septiembre

9 GESTIÓN DEL CONOCIMIENTO Y PRÁCTICAS DOCUMENTALES del 21 a 24 de Octubre

10 DERECHO Y SOCIEDAD DE LA INFORMACIÓN del 18 a 21 Noviembre

Para la obtención del Diploma Francés es requisito Indispensable que a la finalización del programa, el estudiante acredite como mínimo 40 horas de Lengua Francesa, con el objeto de que dicho título sea validado por el Gobierno Nacional Francés.


PERFIL DE ADMISIÓN

Profesionales con interés en el tratamiento y gestión de la información digital

Documentalistas, Ingenieros, Administradores de Empresas, Abogados, Notarios, Licenciados en Bibliotecología, Empresarios, Economistas

En general responsables de Sistemas de Información en áreas sociales y humanas tanto en el sector público como privado

METODOLOGÍA

· Modalidad Presencial: Visita mensual durante cuatro días, de miércoles a viernes, de 8:00 a.m. a 1:00 p.m. y de 2:00 p.m. a 6:00 p.m., y los sábados de 8:00 a.m. a 1:00 p.m.

· Acceso en Línea: Acceso permanente a la plataforma e-documenta de la Universidad Paul-Valéry Montpellier III, la cual busca asegurar los contenidos Teóricos y prácticos de cada modulo de la formación.


DOBLE TITULACIÓN INDIVIDUAL Y SIMULTÁNEA

Universidad Externado de Colombia: Especialista en Documentación Digital, Gestión del Conocimiento y de la Información

Universidad Paul Valéry Montpellier III (Diploma Nacional Francés): Master II Professionnel: Gestion de l'information et de la Connaissance*

DOCENTES

Nómina exclusiva de las Universidades Externado de Colombia, Paul Valéry Montpellier III y Carlos III de Madrid

DURACIÓN

Un año

VALOR

$ 10.000.000.oo

FORMA DE PAGO

• Efectivo
• Cheque de gerencia a nombre de la Universidad Externado de Colombia
• Tarjeta de Crédito

Las empresas o instituciones pueden autorizar el pago, mediante carta o fax dirigido a la oficina de la respectiva Especialización, indicando razón social, NIT, teléfono, nombres y documentos de identificación de los participantes. Posteriormente la Universidad facturará el valor total.

Fecha Límite Inscripciones: 31 de Octubre de 2008

Fecha Iniciación Clases: 11 de febrero de 2009

Universidad Externado de Colombia
Departamento de Informática Jurídica
Calle 12 n. 0-39 este
PBX 2826066 – 3419900 Ext. 2112 – 2111 – 2107
[email protected]

Real Decreto 1665/2008, de 27 de octubre, por el que se modifica el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 428/1993, de 26 de marzo (B.O.E nº 267 de 5 de noviembre de 2008)

MINISTERIO DE ADMINISTRACIONES PÚBLICAS

Real Decreto 1665/2008, de 17 de octubre, por el que se modifica el Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo.

El artículo 35.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, define a la Agencia Española de Protección de Datos como “un Ente de Derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones”, añadiendo que la misma “se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno”.

Por otra parte, el artículo 2.c) del Estatuto de la Agencia, aprobado por Real Decreto 428/1993, de 26 de marzo, establece que en defecto de lo dispuesto en la Ley Orgánica 15/1999 y sus disposiciones reglamentarias de desarrollo, la Agencia se regirá por “las normas de procedimiento contenidas en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común“.

No obstante, el ordenamiento jurídico otorga a la Agencia Española de Protección de Datos un especial régimen que hace particularmente compleja la aplicación de las normas previstas en la Ley 30/1992 para la suplencia del Director en los supuestos de ausencia, vacante o enfermedad, así como en aquellos otros casos en que procediera su abstención o se instase su recusación.

El Estatuto de la Agencia Española de Protección de Datos ya prevé expresamente en su artículo 13.2 la posibilidad de que el Director de la Agencia delegue en el Secretario General algunas de las funciones de gestión previstas en su artículo 13.1. Sin embargo, esta previsión no resulta lógicamente suficiente para resolver los problemas que pudieran derivarse de la concurrencia de situaciones en que la ausencia, vacante, enfermedad, abstención o recusación del Director de la Agencia Española de Protección de Datos imposibilitara al mismo para el ejercicio de las
funciones que la Ley le atribuye expresamente.

Por este motivo, resulta necesaria la reforma del Estatuto de la Agencia Española de Protección de Datos, al efecto de fijar el régimen de suplencia en el ejercicio de las funciones de dirección y gestión previstas en los artículos 12 y 13 del Estatuto, así como de las restantes que le atribuye el artículo 37.1 de la Ley Orgánica 15/1999, de 13 de diciembre, en los supuestos de ausencia, vacante, enfermedad, abstención o recusación del Director de la Agencia.

El proyecto ha sido informado por la Agencia Española de Protección de Datos.

En su virtud, a iniciativa del Ministro de Justicia y a propuesta de la Ministra de Administraciones Públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 17 de octubre de 2008,

D I S P O N G O :

Artículo único.

Modificación del Estatuto de la Agencia Española de Protección de Datos, aprobado por Real
Decreto 428/1993, de 26 de marzo.

Se añade un nuevo artículo 13 bis al Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, con la siguiente redacción:

“Artículo 13 bis. Régimen de suplencia.

1. En los supuestos de ausencia, vacante o enfermedad del Director de la Agencia Española de Protección de Datos, el ejercicio de las competencias previstas en los artículos 12.2 y 13.1 del presente Estatuto, así como las que le correspondieran en aplicación de lo previsto en el artículo 37 de la Ley Orgánica 5/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, será asumido por el Subdirector General de la Inspección de Datos. En el supuesto de que cualquiera de las circunstancias mencionadas concurriera igualmente
en él, el ejercicio de las competencias afectadas será asumido por el Subdirector General del Registro General de Protección de Datos y, en su defecto, por el Secretario General.

2. Cuando, conforme a lo previsto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, concurriera en el Director de la Agencia Española de Protección de Datos alguna causa de abstención o recusación, el ejercicio de las competencias a las que se refiere el apartado anterior, será asumido por el Subdirector General de la Inspección de Datos. En el supuesto de que cualquiera de las causas mencionadas concurriera igualmente en él, el ejercicio de las competencias afectadas será asumido por el Subdirector General del Registro General de Protección de Datos y, en su defecto, por el Secretario General.”

Disposición final única. Entrada en vigor.

El presente real decreto entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.

Dado en Madrid, el 17 de octubre de 2008.

JUAN CARLOS R.

La Ministra de Administraciones Públicas,
ELENA SALGADO MÉNDEZ

VISTO el Expediente MJSyDH nº 164.321/08 y la competencia atribuida a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley nº 25.326 y su reglamentación aprobada por Decreto nº 1558/01, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas reglamentarias que se deben observar en el desarrollo de las actividades comprendidas por la Ley nº 25.326.

Que en su carácter de Órgano de Control de la Ley nº 25.326, la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene la función encomendada de atender las denuncias y reclamos interpuestos en relación al tratamiento de datos personales en los términos de la citada ley, según lo dispone el artículo 29, inciso 5, apartado a) de la reglamentación aprobada por el Decreto nº 1558/01.

Que asimismo tiene la facultad de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326.

Que el artículo 4º, párrafo cuarto, de la reglamentación aprobada por el Decreto nº 1558/01, establece que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de los principios de legitimidad del tratamiento, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.

Que en el párrafo quinto del artículo precedentemente citado se dispone que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

Que también tiene asignada la misión de imponer las sanciones administrativas que correspondan por violación a las normas de la Ley nº 25.326 y de las reglamentaciones que se dicten en su consecuencia.

Que de ello se desprende que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene a su cargo la facultad de llevar adelante inspecciones para verificar el cumplimiento de los principios y obligaciones impuestos por la Ley nº 25.326.

Que por ello se estima conveniente establecer un procedimiento que regirá la actividad de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES en el desarrollo de las fiscalizaciones que lleve adelante en ejercicio de sus competencias.

Que corresponde en consecuencia establecer las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Que ha tomado intervención el servicio jurídico de asesoramiento permanente de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, inciso 1, apartado b) de la Ley nº 25.326 y el artículo 29, inciso 5, apartado a) del Anexo I del Decreto nº 1558/01.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

Artículo 1º.- Apruébanse las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, que como Anexo I forma parte del presente.

Artículo 2º.- El ejercicio de la facultad de fiscalización que tiene asignada la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se desarrollará de oficio y cuando la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES estime corresponder, si bien podrá tener causa en una petición o denuncia de un órgano del Estado nacional, provincial, municipal o un particular.

Artículo 3º.- Las inspecciones y controles serán efectuados por un agente de la planta permanente de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES debida- mente acreditado, quien revestirá el carácter de inspector y podrá estar acompañado por el personal técnico que sea designado a tal fin por el Director Nacional de Protección de Datos Personales a propuesta del titular del área requerida. En todos los casos y de considerarlo pertinente, el Director Nacional de Protección de Datos Personales podrá estar presente en la inspección.

Artículo 4º.- La iniciación de la inspección se instrumentará mediante decisión del Director Nacional de Protección de Datos Personales y será debidamente notificada al responsable de la base de datos sujeta a control con una antelación no inferior a DIEZ (10) días hábiles, salvo que se entienda que la previa notificación podrá afectar el resultado de la investigación, en cuyo caso deberá constar la pertinente justificación en el acto de apertura de la inspección. En caso de efectuarse notificación, la misma deberá ir acompañada por una copia del texto correspondiente a las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES aprobadas por el Anexo I de la presente.

Artículo 5º.- La inspección consistirá en una o más visitas presenciales del inspector en la que podrá acceder a la totalidad de los locales, equipos o programas de tratamientos de datos personales del responsable de la base de datos controlada. Dichas visitas se harán en días y horas hábiles administrativos sin perjuicio de lo cual de oficio o a petición de parte podrán habilitarse aquellos que no lo fueren.

Artículo 6º.- La inspección se desarrollará conforme lo disponen los puntos de las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, en forma total o parcial según el alcance objetivo o causal del control y a las características del tratamiento de datos bajo inspección.

Podrán además solicitarse elementos adicionales siempre que las circunstancias fácticas y el tipo de tratamiento de datos así lo determinen.

Artículo 7º.- Los actos de inspección constarán en un acta que será labrada en duplicado por el inspector y suscripta por el mismo, por los técnicos que lo acompañen en su caso, y por el responsable de la base de datos controlada. El original se incorporará a las actuaciones que dieron origen a la inspección y el duplicado será entregado al responsable de la base de datos.

Artículo 8º.- En caso de que resultare necesario solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326, el inspector deberá elevar la respectiva petición al Director Nacional de Protección de Datos Personales, quien formulará el correspondiente requerimiento.

Artículo 9º.- Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese.

Juan A. Travieso.

ANEXO I. NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES

1. Objetivo general

1.1. Desarrollo de inspecciones que permitan mejorar la gestión de tratamiento de datos personales por parte del responsable de las Bases de Datos, el ejercicio de las facultades de control de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES y la mejor protección de los derechos del titular del dato.

2. Objetivos de la inspección.

2.1. Tomar conocimiento de las actividades del Responsable de la Base de Datos, los datos personales que administra, y los medios y la forma con los que lo hace.

2.2. Evaluar el grado de cumplimiento lo prescripto por la Ley nº 25.326.

2.3. Realizar recomendaciones para el mejor desempeño del responsable dentro del marco legal.

3. Alcance de la inspección

Se verificarán las medidas técnicas y organizativas desarrolladas por el Responsable de la Base de Datos en los siguientes campos:

3.1. Capacitación

3.1.1. Capacitación del personal

3.1.2. Títulos y acreditaciones de quien fuera designado como encargado de la Base de Datos y/o responsable u órgano específico de seguridad (Disposición DNPDP nº 11/2006).

3.1.3. Inscripciones, habilitaciones, inhibiciones.

3.1.4. Participación en actividades de cámaras, asociaciones, organismos.

3.1.5. Publicaciones en medios.

3.1.6. Participación en actividades académicas.

3.2. Legalidad de los datos que posee y gestiona.

3.2.1. Licitud en la recolección de los datos.

3.2.2. Inscripción actualizada de sus Bases de Datos en el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

3.3. Idoneidad de los medios empleados en el tratamiento de los datos y en toda gestión anexa.

3.3.1. Materiales: instalaciones, medios de almacenamiento.

3.3.2. Sistemas, software.

3.3.3. Personal: diseño de sistemas, gestión de sistemas, atención a usuarios, legales.

3.3.4. Procedimentales: formas de gestión, atención de reclamos, corrección de errores, comunicación.

3.4. Correcto tratamiento de los datos personales.

3.4.1. Almacenamiento.

3.4.2. Interrelación de la información.

3.4.3. Modificación.

3.4.4. Ejercicio de los derechos que acuerda la ley a los titulares de los datos.

3.4.5. Destrucción.

3.4.6. Cesión a terceros y transferencia internacional.

3.4.7. Contratos de prestación de servicios de tratamiento de datos por o para terceros.

3.5. La publicidad y formas de comunicación hacia terceros que realiza y que involucre a los datos personales de los que es responsable.

La publicidad y comunicación que se realice de productos o servicios que involucren a los datos personales objeto de esta inspección, debe ser coherente con la realidad producida por el inspeccionado y no debe contradecir lo prescripto por la Ley 25.326.

3.5.1. Comunicación institucional

3.5.2. Publicidad comercial.

4. Metodología de la inspección:

4.1. Acreditaciones obligatorias del responsable.

4.1.1. Personería

4.1.2. Registro DNPDP

4.2. Acreditaciones optativas

4.2.1. ANSES

4.2.2. ART

4.2.3. Habilitación municipal

4.2.4. CUIT

4.3. Legalidad y corrección de los datos objeto de tratamiento.

4.3.1. Licitud del tratamiento de datos personales.

4.3.1.1. Tipos de datos que se gestionan.

4.3.1.2. Finalidad del tratamiento, servicios que se prestan.

4.3.1.3. Origen o fuente de los datos, formas de recolección. Verificación del consentimiento del titular para el tratamiento de sus datos.

4.3.1.3.1. Verificación de los procesos de incorporación de datos a la base.

4.3.1.3.2. Comprobación de los consentimientos firmados.

4.3.1.4. Cesiones a terceros. Cumplimiento de los requisitos legales.

4.3.1.5. Transferencias internacionales. Cumplimiento de los requisitos legales.

4.3.1.6. Mecanismos de disociación de la información personal.

4.3.1.7. Destrucción de la información.

4.3.1.7.1. Verificación de la utilidad o pertinencia de la información registrada

4.3.1.7.2. Periodicidad de la verificación.

4.3.1.7.3. Forma de destrucción.

4.3.2. Inscripciones vigentes en la DNPDP para los tratamientos de datos inspeccionados.

4.3.3. Medidas de seguridad de la información

4.3.3.1. Cumplimiento de la Disposición DNPDP nº 11/06.

4.3.4. Política de privacidad y confidencialidad del responsable.

4.3.4.1. Se verificará si tiene una política de privacidad.

4.3.4.2. Grado de cumplimiento de la política de privacidad.

4.3.4.3. Publicidad y difusión de la política de privacidad.

4.3.4.4. Convenios de confidencialidad firmados por los empleados, usuarios o terceros que accedan a la información registrada en la base de datos.

4.3.4.5. Se verificará si el responsable adopta mecanismos para evaluar el cumplimiento de la política de privacidad y de los convenios de confidencialidad.

4.3.5. Casos especiales. Cumplimiento de la normativa específica.

4.3.5.1. Datos relativos a la salud.

4.3.5.1.1. Establecimientos sanitarios y profesionales de la salud.

4.3.5.1.2. Investigaciones clínicas, farmacológicas y farmacogenéticas.

4.3.5.1.2.1. Verificación que los consentimientos informados del paciente para los protocolos de investigación cuenten con la aprobación de la DNPDP.

4.3.5.1.2.2. El consentimiento libre, expreso por escrito, e informado brindado por el paciente. En caso de menores, conste la autorización de su representante legal y eventual asentimiento del menor.

4.3.5.1.2.3. La previa explicación al paciente en forma adecuada a su nivel sociocultural.

4.3.5.1.2.4. Respeto del secreto profesional y normas de confidencialidad para el tratamiento de los datos personales recolectados.

4.3.5.1.2.5. Respeto de la revocabilidad del consentimiento para el tratamiento de los datos personales.

4.3.5.1.2.6. Cesionarios o receptores en caso de cesión o transferencia internacional de datos personales.

4.3.5.1.2.7. Análisis de los mecanismos de disociación de los datos personales.

4.3.5.2. Tratamiento de datos por cuenta de terceros.

4.3.5.2.1. Contrato de servicio

4.3.5.2.2. Uso posterior de los datos una vez cumplido el contrato. Conservación o destrucción.

4.3.5.3. Bases de datos destinadas a la información crediticia.

4.3.5.3.1. Análisis de las fuentes legítimas.

4.3.5.3.2. Estricto cumplimiento del tipo de información que el artículo 26 habilita tratar.

4.3.5.3.3. Aplicación de los plazos de caducidad para la publicidad de la información del artículo 26, inciso 4.

4.3.5.4. Bases de datos destinadas a la publicidad.

4.3.5.4.1. Origen de los datos.

4.3.5.4.2. Información al titular de los datos

4.3.5.4.3. Mecanismo previsto para el ejercicio del derecho de bloqueo del artículo 27, inciso 3.

4.3.5.5. Bases de datos destinados a las encuestas de opinión.

4.4. Idoneidad de los medios empleados en el tratamiento de los datos y en gestiones anexas.

4.4.1. Materiales: instalaciones y medios de almacenamiento.

4.4.1.1. Compartidas o exclusivas.

4.4.1.2. Grado de privacidad / seguridad en las operaciones.

4.4.2. Sistemas, software:

4.4.2.1. Medios de seguridad contra acciones no permitidas.

4.4.3. Personal. Se entrevista al personal de las áreas de:

4.4.3.1. Diseño de sistemas y gestión de sistemas: calificación del personal.

4.4.3.1.1. Conocimiento de la responsabilidad vinculada al tratamiento de datos personales.

4.4.3.1.2. Estudios básicos.

4.4.3.1.3. Estudios y formación vinculados a la protección de datos personales.

4.4.3.1.3.1. Cursos al ingreso – Cursos actualización

4.4.3.1.3.2. Internos, en la organización.

4.4.3.1.3.3. Externos.

4.4.3.2. Atención a titulares y usuarios: calificación del personal.

4.4.3.2.1. Conocimiento de responsabilidad vinculada al tratamiento de datos personales, los derechos de los

titulares y las obligaciones de la Ley 25.326

4.4.3.2.2. Tiempo de antigüedad en la actividad.

4.4.3.2.3. Estudios básicos.

4.4.3.2.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.2.4.1. Cursos al ingreso – Cursos actualización

4.4.3.2.4.2. Internos, en la organización

4.4.3.2.4.3. Externos.

4.4.3.2.5. Capacidad de trato.

4.4.3.2.6. Actitud frente a reclamos.

4.4.3.2.7. Capacidad de comunicación.

4.4.3.2.8. Idiomas, cuáles, grado de conocimiento.

4.4.3.3. Legales, calificación del personal

4.4.3.3.1. Conocimiento de la responsabilidad vinculada al tratamiento de datos personales.

4.4.3.3.2. Tiempo de antigüedad en la actividad.

4.4.3.3.3. Estudios básicos.

4.4.3.3.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.3.4.1. Cursos al ingreso – Cursos actualización

4.4.3.3.4.2. Internos, en la organización.

4.4.3.3.4.3. Externos.

4.4.3.3.5. Capacidad de trato.

4.4.3.3.6. Actitud frente a reclamos.

4.4.3.3.7. Capacidad de comunicación.

4.4.4. Procedimentales: atención de reclamos, corrección de errores, comunicación.

Se verifican procedimientos específicos por ejemplo:

4.4.4.1. Procedimiento: Derecho de acceso

4.4.4.1.1. Personas a cargo, calificación.

4.4.4.1.2. Recepción de solicitud: Formas – Lugar – Horario

4.4.4.1.3. Verificación de la identidad del solicitante.

4.4.4.1.4. Elaboración de la respuesta, colección de la información, redacción, presentación (papel, archivo).

4.4.4.1.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.1.6. Registro del caso (ticket, archivo).

4.4.4.1.7. Seguimiento.

4.4.4.1.8. Tiempo transcurrido entre la solicitud y la recepción de la respuesta. Análisis de casos testigo.

4.4.4.2. Procedimiento: Rectificación – Actualización – Supresión – Bloqueo.

4.4.4.2.1. Personas a cargo, calificación.

4.4.4.2.2. Verificación de la identidad del solicitante.

4.4.4.2.3. Recepción de solicitud: Formas – Lugar – Horario

4.4.4.2.4. Elaboración de la respuesta, colección de la información, redacción, presentación (papel, archivo).

4.4.4.2.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.2.6. Registro del caso (ticket, archivo).

4.4.4.2.7. Seguimiento.

4.4.4.2.8. Tiempo transcurrido entre la solicitud y la recepción de la respuesta.

4.5. Acatamiento de las disposiciones de la DNPDP

4.5.1. Disposiciones generales

4.5.2. Disposiciones particulares acaecidas en sumarios tramitados ante la DNPDP en los que el responsable de la base de datos haya sido parte.

Artículo 1º.- Establécese el acceso libre y gratuito vía Internet a la edición del Boletín Oficial de la Provincia de Tierra del Fuego, Antártida e Islas del Atlántico Sur.

Artículo 2º.- El Poder Ejecutivo Provincial deberá incluir en su página web la publicación de los Boletines Oficiales, debiendo respetar la identidad del texto y tiempo con lo publicado en soporte papel, en todas sus secciones y anexos.

Artículo 3º.- En un plazo de sesenta (60) días corridos a contar desde la promulgación de la presente, el Poder Ejecutivo Provincial deberá instrumentar la publicación prescripta en el artículo 2º, de todos los Boletines Oficiales provinciales anteriores a su entrada en vigencia.

Artículo 4º.- Invítase a las Municipalidades y Comuna de la Provincia a adherir a la presente.

Artículo 5º.- Comuníquese al Poder Ejecutivo Provincial.  

Les Représentants du Peuple Français, constitués en Assemblée nationale, considérant que l’ignorance, l’oubli ou le mépris des droits de l’homme sont les seules causes des malheurs publics et de la corruption des Gouvernements, ont résolu d’exposer, dans une Déclaration solennelle, les droits naturels, inaliénables et sacrés de l’homme, afin que cette Déclaration, constamment présente à tous les membres du corps social, leur rappelle sans cesse leurs droits et leurs devoirs ; afin que les actes du pouvoir législatif, et ceux du pouvoir exécutif pouvant être à chaque instant comparés avec le but de toute institution politique, en soient plus respectés ; afin que les réclamations des citoyens, fondées désormais sur des principes simples et incontestables, tournent toujours au maintien de la Constitution, et au bonheur de tous. En conséquence, l’Assemblée nationale reconnaît et déclare, en présence et sous les auspices de l’Être Suprême, les droits suivants de l’homme et du citoyen.

Article premier

Les hommes naissent et demeurent libres et égaux en droits. Les distinctions sociales ne peuvent être fondées que sur l’utilité commune.

Article II

Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression.

Article III

Le principe de toute Souveraineté réside essentiellement dans la Nation. Nul corps, nul individu ne peut exercer d’autorité qui n’en émane expressément.

Article IV

La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi l’exercice des droits naturels de chaque homme n’a de bornes que celles qui assurent aux autres Membres de la Société, la jouissance de ces mêmes droits. Ces bornes ne peuvent être déterminées que par la Loi.

Article V

La Loi n’a le droit de défendre que les actions nuisibles à la Société. Tout ce qui n’est pas défendu par la Loi ne peut être empêché, et nul ne peut être contraint à faire ce qu’elle n’ordonne pas.

Article VI

La Loi est l’expression de la volonté générale. Tous les Citoyens ont droit de concourir personnellement, ou par leurs Représentants, à sa formation. Elle doit être la même pour tous, soit qu’elle protège, soit qu’elle punisse. Tous les Citoyens étant égaux à ses yeux, sont également admissibles à toutes dignités, places et emplois publics, selon leur capacité, et sans autre distinction que celle de leurs vertus et de leurs talents.

Article VII

Nul homme ne peut être accusé, arrêté, ni détenu que dans les cas déterminés par la Loi, et selon les formes qu’elle a prescrites. Ceux qui sollicitent, expédient, exécutent ou font exécuter des ordres arbitraires, doivent être punis ; mais tout Citoyen appelé ou saisi en vertu de la Loi doit obéir à l’instant : il se rend coupable par la résistance.

Article VIII

La Loi ne doit établir que des peines strictement et évidemment nécessaires, et nul ne peut être puni qu’en vertu d’une Loi établie et promulguée antérieurement au délit, et légalement appliquée.

Article IX

Tout homme étant présumé innocent jusqu’à ce qu’il ait été déclaré coupable, s’il est jugé indispensable de l’arrêter, toute rigueur qui ne serait pas nécessaire pour s’assurer de sa personne, doit être sévèrement réprimée par la Loi.

Article X

Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l’ordre public établi par la Loi.

Article XI

La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi.

Article XII

La garantie des droits de l’Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l’avantage de tous, et non pour l’utilité particulière de ceux auxquels elle est confiée.

Article XIII

Pour l’entretien de la force publique, et pour les dépenses d’administration, une contribution commune est indispensable. Elle doit être également répartie entre tous les Citoyens, en raison de leurs facultés.

Article XIV

Tous les Citoyens ont le droit de constater, par eux-mêmes ou par leurs Représentants, la nécessité de la contribution publique, de la consentir librement, d’en suivre l’emploi et d’en déterminer la quotité, l’assiette, le recouvrement et la durée.

Article XV

La Société a le droit de demander compte à tout Agent public de son administration.

Article XVI

Toute Société dans laquelle la garantie des Droits n’est pas assurée, ni la séparation des Pouvoirs déterminée, n’a point de Constitution.

Article XVII

La propriété étant un droit inviolable et sacré, nul ne peut en être privé, si ce n’est lorsque la nécessité publique, légalement constatée, l’exige évidemment, et sous la condition d’une juste et préalable indemnité.

PRÉAMBULE DE LA CONSTITUTION DU 27 OCTOBRE 1946

Au lendemain de la victoire remportée par les peuples libres sur les régimes qui ont tenté d’asservir et de dégrader la personne humaine, le peuple français proclame à nouveau que tout être humain, sans distinction de race, de religion ni de croyance, possède des droits inaliénables et sacrés. Il réaffirme solennellement les droits et les libertés de l’homme et du citoyen consacrés par la Déclaration des Droits de 1789 et les principes fondamentaux reconnus par les lois de la République.

Il proclame, en outre, comme particulièrement nécessaires à notre temps, les principes politiques, économiques et sociaux ci-après :

La loi garantit à la femme, dans tous les domaines, des droits égaux à ceux de l’homme. Tout homme persécuté en raison de son action en faveur de la liberté a droit d’asile sur les territoires de la République.

Chacun a le devoir de travailler et le droit d’obtenir un emploi. Nul ne peut être lésé, dans son travail ou son emploi, en raison de ses origines, de ses opinions ou de ses croyances.

Tout homme peut défendre ses droits et ses intérêts par l’action syndicale et adhérer au syndicat de son choix.

Le droit de grève s’exerce dans le cadre des lois qui le réglementent.

Tout travailleur participe, par l’intermédiaire de ses délégués, à la détermination collective des conditions de travail ainsi qu’à la gestion des entreprises.

Tout bien, toute entreprise, dont l’exploitation a ou acquiert les caractères d’un service public national ou d’un monopole de fait, doit devenir la propriété de la collectivité.

La Nation assure à l’individu et à la famille les conditions nécessaires à leur développement.

Elle garantit à tous, notamment à l’enfant, à la mère et aux vieux travailleurs, la protection de la santé, la sécurité matérielle, le repos et les loisirs. Tout être humain qui, en raison de son âge, de son état physique ou mental, de la situation économique, se trouve dans l’incapacité de travailler a le droit d’obtenir de la collectivité des moyens convenables d’existence.

La Nation proclame la solidarité et l’égalité de tous les Français devant les charges qui résultent des calamités nationales.

La Nation garantit l’égal accès de l’enfant et de l’adulte à l’instruction, à la formation professionnelle et à la culture. L’organisation de l’enseignement public gratuit et laïque à tous les degrés est un devoir de l’État.

La République française, fidèle à ses traditions, se conforme aux règles du droit public international. Elle n’entreprendra aucune guerre dans des vues de conquête et n’emploiera jamais ses forces contre la liberté d’aucun peuple.

Sous réserve de réciprocité, la France consent aux limitations de souveraineté nécessaires à l’organisation et à la défense de la paix.

La France forme avec les peuples d’outre-mer une Union fondée sur l’égalité des droits et des devoirs, sans distinction de race ni de religion.

L’Union française est composée de nations et de peuples qui mettent en commun ou coordonnent leurs ressources et leurs efforts pour développer leurs civilisations respectives, accroître leur bien-être et assurer leur sécurité.

Fidèle à sa mission traditionnelle, la France entend conduire les peuples dont elle a pris la charge à la liberté de s’administrer eux-mêmes et de gérer démocratiquement leurs propres affaires ; écartant tout système de colonisation fondé sur l’arbitraire, elle garantit à tous l’égal accès aux fonctions publiques et l’exercice individuel ou collectif des droits et libertés proclamés ou confirmés ci-dessus.

To require the Federal Trade Commission to prescribe regulations to protect the privacy of personal information collected from and about children on the Internet, to provide greater parental control over the collection and use of that information, and for other purposes.
IN THE SENATE OF THE UNITED STATES
July 17, 1998
Mr. BRYAN (for himself and Mr. MCCAIN) introduced the following bill; which was read twice and referred to the Committee on Commerce, Science, and Transportation
A BILL
To require the Federal Trade Commission to prescribe regulations to protect the privacy of personal information collected from and about children on the Internet, to provide greater parental control over the collection and use of that information, and for other purposes.
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled,
SECTION 1. SHORT TITLE.
This Act may be cited as the `Children's Online Privacy Protection Act of 1998'.
SEC. 2. DEFINITIONS.
In this Act:
(1) CHILD- The term `child' means an individual under the age of 16.
(2) CHILDREN- The term `children' means more than 1 child.
(3) COMMERCIAL WEBSITE OPERATOR- The term `commercial website operator' means any person operating a website on the World Wide Webs for commercial purposes, including any person offering products or services for sale though that website, involving commerce–
(A) among the several States or with 1 or more foreign nations;
(B) in any territory of the United States or in the District of Columbia, or between any such territory–
(i) and another such territory; or
(ii) and any State or foreign nation; or
(C) between the District of Columbia and any State, territory, or foreign nation.
(4) COMMISSION- The term `Commission' means the Federal Trade Commission.
(5) DISCLOSURE- The term `disclosure' means, with respect to personal information–
(A) the release of information in identifiable form by a person to any other person for any purpose; or
(B) making publicly available information in identifiable form by any means including by a public posting, through the use of a computer on or through–
(i) a home page of a website;
(ii) a pen pal service;
(iii) an electronic mail service;
(iv) a message board; or
(v) a chat room.
(6) FEDERAL AGENCY- The term `Federal agency' means an agency, as that term is defined in section 551(1) of title 5, United States Code.
(7) INTERNET- The term `Internet' means the international computer network of both Federal and non-Federal interoperable packet switched data networks.
(8) PARENT- The term `parent' means a legal guardian, including a biological or adoptive parent.
(9) PERSONAL INFORMATION- The term `personal information' means individually, identifiable information about an individual, including–
(A) a first and last name;
(B) a home or other physical address;
(C) an e-mail address;
(D) a telephone number;
(E) a Social Security number; or
(F) any other information that would facilitate or enable the physical or online locating and contacting of a specific individual, including information that is associated with an identifier described in this paragraph in such manner as to become identifiable to a specific individual.
(10) VERIFIABLE PARENTAL CONSENT- The term `verifiable parental consent' means any reasonable effort (taking into consideration available technology) to ensure that a parent of a child authorizes the disclosure of personal information and subsequent use of that information before that information is collected from that child.
(11) WEBSITE DIRECTED TO CHILDREN- The term `website directed to children'–
(A) means a commercial website that is–
(i) targeted to children;
(ii) directed to children by reason of the subject matter, visual content, age of models, language, characters, tone, message, or any other similar characteristic of the website; or
(iii) used by a commercial website operator to knowingly collect information from children; and
(B) includes any commercial website any portion of which is directed to children, as specified in subparagraph (A).
(12) PERSON- The term `person' means any individual, partnership, corporation, trust, estate, cooperative, association, or other entity.
SEC. 3. REGULATION OF UNFAIR AND DECEPTIVE ACTS AND PRACTICES IN CONNECTION WITH THE COLLECTION AND USE OF PERSONAL INFORMATION FROM AND ABOUT CHILDREN ON THE INTERNET.
(a) REGULATIONS-
(1) IN GENERAL- Not later than 1 year after the date of enactment of this Act, the Commission shall, in a manner consistent with section 553 of title 5, United States Code, prescribe regulations requiring commercial website operators to follow fair information practices in connection with the collection and use of personal information from children.
(2) CONTENTS- The regulations issued under this subsection shall–
(A) require that any website directed to children that collects personal information from children–
(i) provide clear, prominent, understandable notice of the information collection and use practices of the website operator through the website;
(ii) obtain verifiable parental consent for the collection, use, or disclosure of personal information from children who are under the age of 13;
(iii) use reasonable efforts to provide the parents with notice and an opportunity to prevent or curtail the collection or use of personal information collected from children over the age of 12 and under the age of 17;
(iv) provide a parent–
(I) access to the personal information of the child of that parent collected by that website; and
(II) the opportunity to refuse to permit any further use or future collection of personal information referred to in subclause (I) and notice of that opportunity; and
(B) require that the commercial website operator concerned establish and maintain reasonable procedures to ensure the confidentiality, security, accuracy, and integrity of personal information collected from children through the website.
(b) ENFORCEMENT-
(1) TREATMENT OF REGULATIONS- A regulation prescribed under subsection (a) shall be treated as a rule defining an unfair or deceptive act or practice under section 18(a)(1)(B) of the Federal Trade Commission Act (15 U.S.C. 57a(a)(1)(B)).
(2) ENFORCEMENT- Subject to section 6, a violation of a regulation prescribed under subsection (a) shall be treated as a violation of a rule defining an unfair or deceptive act or practice prescribed under section 18(a)(1)(B) of the Federal Trade Commission Act.
SEC. 4. SAFE HARBORS.
(a) IN GENERAL- In prescribing regulations under section 3, the Commission shall provide incentives for efforts of self-regulation by commercial website operators to
implement the protections described in subsection (a) of that section.
(b) SAFE HARBORS- The incentives referred to in subsection (a) shall include provisions for ensuring that a person will be deemed to be in compliance with the requirements of the regulations under section 3 if that person applies guidelines that–
(1) are issued by appropriate representatives of the computer industry; and
(2) are approved by the Commission upon making a determination that the guidelines meet the requirements of the regulations issued under section 3.
SEC. 5. ACTIONS BY STATES.
(a) IN GENERAL-
(1) CIVIL ACTIONS- In any case in which the attorney general of a State has reason to believe that an interest of the residents of that State has been or is threatened or adversely affected by the engagement of any person in a practice that violates any regulation of the Commission prescribed under section 3, the State, as parens patriae, may bring a civil action on behalf of the residents of the State in a district court of the United States of appropriate jurisdiction to–
(A) enjoin that practice;
(B) enforce compliance with the regulation;
(C) obtain damage, restitution, or other compensation on behalf of residents of the State; or
(D) obtain such other relief as the court may consider to be appropriate.
(2) NOTICE-
(A) IN GENERAL- Before filing an action under paragraph (1), the attorney general of the State involved shall provide to the Commission–
(i) written notice of that action; and
(ii) a copy of the complaint for that action.
(B) EXEMPTION-
(i) IN GENERAL- Subparagraph (A) shall not apply with respect to the filing of an action by an attorney general of a State under this subsection, if the attorney general determines that it is not feasible to provide the notice described in that subparagraph before the filing of the action.
(ii) NOTIFICATION- In an action described in clause (i), the attorney general of a State shall provide notice and a copy of the complaint to the Commission at the same time as the attorney general files the action.
(b) INTERVENTION-
(1) IN GENERAL- On receiving notice under paragraph (2), the Commission shall have the right to intervene in the action that is the subject of the notice.
(2) EFFECT OF INTERVENTION- If the Commission intervenes in an action under subparagraph (A), the Commission shall have the right–
(A) to be heard with respect to any matter that arises in that action; and
(B) to file a petition for appeal.
(c) CONSTRUCTION- For purposes of bringing any civil action under subsection (a), nothing in this Act shall be construed to prevent an attorney general of a State from exercising the powers conferred on the attorney general by the laws of that State to–
(1) conduct investigations;
(2) administer oaths or affirmations; or
(3) compel the attendance of witnesses or the production of documentary and other evidence.
(d) ACTIONS BY THE COMMISSION- In any case in which an action is instituted by or on behalf of the Commission for violation of any regulation prescribed under section 3, no State may, during the pendency of that action, institute an action under subsection (a) against any defendant named in the complaint in that action for violation of that regulation.
(e) VENUE; SERVICE OF PROCESS-
(1) VENUE- Any action brought under subsection (a) may be brought in the district court of the United States–
(A) in which the defendant–
(i) is found;
(ii) is an inhabitant; or
(iii) transacts business; or
(B) that otherwise meets applicable requirements relating to venue under section 1391 of title 28, United States Code.
(2) SERVICE OF PROCESS- In an action brought under subsection (a), process may be served in any district in which the defendant–
(A) is an inhabitant; or
(B) may be found.
(f) ACTIONS BY OTHER STATE OFFICIALS-
(1) IN GENERAL- Nothing in this section may be construed to prohibit a State official from proceeding a court of the State in accordance with the
laws of that State on the basis of an alleged violation of any civil or criminal law of that State.
(2) CERTAIN ACTIONS IN STATE COURTS- In addition to any actions brought by an attorney general of a State under subsection (a), an action described in paragraph (1) may be brought by any other officer of that State who is authorized by the State to bring such an action in that State on behalf of the residents of the State.
SEC. 6. ADMINISTRATION AND APPLICABILITY OF ACT.
(a) IN GENERAL- Except as otherwise provided, this Act shall be enforced by the Commission under the Federal Trade Commission Act (15 U.S.C. 41 et seq.).
(b) PROVISIONS- Compliance with the requirements imposed under this subchapter shall be enforced under–
(1) section 8 of the Federal Deposit Insurance Act (12 U.S.C. 1818), in the case of–
(A) national banks, and Federal branches and Federal agencies of foreign banks, by the Office of the Comptroller of the Currency;
(B) member banks of the Federal Reserve System (other than national banks), branches and agencies of foreign banks (other than Federal branches, Federal agencies, and insured State branches of foreign banks), commercial lending companies owned or controlled by foreign banks, and organizations operating under section 25 or 25(a) of the Federal Reserve Act (12 U.S.C. 601 et seq. and 611 et seq.), by the Board; and
(C) banks insured by the Federal Deposit Insurance Corporation (other than members of the Federal Reserve System) and insured State branches of foreign banks, by the Board of Directors of the Federal Deposit Insurance Corporation;
(2) section 8 of the Federal Deposit Insurance Act (12 U.S.C. 1818), by the Director of the Office of Thrift Supervision, in the case of a savings association the deposits of which are insured by the Federal Deposit Insurance Corporation;
(3) the Federal Credit Union Act (12 U.S.C. 1751 et seq.), by the National Credit Union Administration Board with respect to any Federal credit union;
(4) part A of subtitle VII of title 49, by the Secretary of Transportation with respect to any air carrier or foreign air carrier subject to that part;
(5) the Packers and Stockyards Act, 1921 (7 U.S.C. 181 et seq.) (except as provided in section 406 of that Act (7 U.S.C. 226, 227)), by the Secretary of Agriculture with respect to any activities subject to that Act; and
(6) the Farm Credit Act of 1971 (12 U.S.C. 2001 et seq.) by the Farm Credit Administration with respect to any Federal land bank, Federal land bank association, Federal intermediate credit bank, or production credit association.
(c) EXERCISE OF CERTAIN POWERS- For the purpose of the exercise by any agency referred to in subsection (a) of its powers under any Act referred to in that subsection, a violation of any requirement imposed under this Act shall be deemed to be a violation of a requirement imposed under that Act. In addition to its powers under any provision of law specifically referred to in subsection (a), each of the agencies referred to in that subsection may exercise, for the purpose of enforcing compliance with any requirement imposed under this Act, any other authority conferred on it by law.
(d) ACTIONS BY THE COMMISSION- The Commission shall prevent any person from violating a rule of the Commission under section 3 in the same manner, by the same means, and with the same jurisdiction, powers, and duties as though all applicable terms and provisions of the Federal Trade Commission Act (15 U.S.C. 41 et seq.) were incorporated into and made a part of this Act. Any entity that violates such rule shall be subject to the penalties and entitled to the privileges and immunities provided in the Federal Trade Commission Act in the same manner, by the same means, and with the same jurisdiction, power, and duties as though all applicable terms and provisions of the Federal Trade Commission Act were incorporated into and made a part of this Act.
(e) EFFECT ON OTHER LAWS- Nothing contained in the Act shall be construed to limit the authority of the Commission under any other provisions of law.
SEC. 7. REVIEW.
(a) IN GENERAL- Not later than 5 years after the effective date of the regulations initially issued under section 3, the Commission shall–
(1) review the implementation of this Act, including the effect of the implementation of this Act on practices relating to the disclosure of information relating to children; and
(2) prepare and submit to Congress a report the results of the review under paragraph (1).

EL COMITÉ JURÍDICO INTERAMERICANO,

CONSIDERANDO que el Comité Jurídico Interamericano ha incorporado en su agenda el tema del derecho de los ciudadanos al acceso a la información pública;

VISTO que las leyes que garantizan el acceso de los ciudadanos a la información sobre las actividades de los poderes públicos, tiene que ver con el perfeccionamiento de la democracia, la responsabilidad de los funcionarios públicos y la transparencia de la gestión pública;

HABIENDO SOSTENIDO durante el presente período ordinario de sesiones un provechoso y extenso diálogo con el doctor Darío Soto, Director Adjunto del Trust of the Americas, Fundación asociada a la Organización de los Estados Americanos, quién también representa a la Alianza Regional para la Libertad de Expresión e Información, que reúne a diversas organizaciones de la sociedad civil interesadas en el tema,

RESUELVE:

Encomendar al relator, doctor Jaime Aparicio, y a los co-relatores doctores Mauricio Herdocia Sacasa y Hyacinth Evadne Lindsay, continuar trabajando en el tema de Acceso a la Información Pública con los órganos de la OEA, en colaboración con instituciones como el Trust of the Americas, el Centro Carter y la Alianza para la Libertad de Expresión e Información, en la elaboración de una lista de indicadores y principios legales en materia de acceso a la información.

La presente resolución fue aprobada por unanimidad, en la sesión del 9 de agosto de 2007, estando presentes los siguientes miembros: doctores Jean-Paul Hubert, Hyacinth Evadne Lindsay, Eduardo Vio Grossi, Ricardo Seitenfus, Freddy Castillo Castellanos, Jorge Palacios Treviño, Antonio Fidel Pérez, Mauricio Herdocia Sacasa, Jaime Aparicio y Ana Elizabeth Villalta Vizcarra.  

Capítulo I.- Bases De La Institucionalidad

Artículo 1º.-

Las personas nacen libres e iguales en dignidad y derechos.

La familia es el núcleo fundamental de la sociedad.

El Estado reconoce y ampara a los grupos intermedios a través de los cuales se organiza y estructura la sociedad y les garantiza la adecuada autonomía para cumplir sus propios fines específicos.

El Estado está al servicio de la persona humana y su finalidad es promover el bien común, para lo cual debe contribuir a crear las condiciones sociales que permitan a todos y a cada uno de los integrantes de la comunidad nacional su mayor realización espiritual y material posible, con pleno respeto a los derechos y garantías que esta Constitución establece.

Es deber del Estado resguardar la seguridad nacional, dar protección a la población y a la familia, propender al fortalecimiento de ésta, promover la integración armónica de todos los sectores de la Nación y asegurar el derecho de las personas a participar con igualdad de oportunidades en la vida nacional.

Artículo 2º.-

Son emblemas nacionales la bandera nacional, el escudo de armas de la República y el himno nacional.

Artículo 3º .-

El Estado de Chile es unitario.

La administración del Estado será funcional y territorialmente descentralizada, o desconcentrada en su caso, de conformidad a la ley.

Los órganos del Estado promoverán el fortalecimiento de la regionalización del país y el desarrollo equitativo y solidario entre las regiones, provincias y comunas del territorio nacional.

Artículo 4º .-

Chile es una república democrática.

Artículo 5º .-

La soberanía reside esencialmente en la Nación. Su ejercicio se realiza por el pueblo a través del plebiscito y de elecciones periódicas y, también, por las autoridades que esta Constitución establece. Ningún sector del pueblo ni individuo alguno puede atribuirse su ejercicio.

El ejercicio de la soberanía reconoce como limitación el respeto a los derechos esenciales que emanan de la naturaleza humana. Es deber de los órganos del Estado respetar y promover tales derechos, garantizados por esta Constitución, así como por los tratados internacionales ratificados por Chile y que se encuentren vigentes.

Artículo 6º.-

Los órganos del Estado deben someter su acción a la Constitución y a las normas dictadas conforme a ella, y garantizar el orden institucional de la República .

Los preceptos de esta Constitución obligan tanto a los titulares o integrantes de dichos órganos como a toda persona, institución o grupo.

La infracción de esta norma generará las responsabilidades y sanciones que determine la ley.

Artículo 7º.-

Los órganos del Estado actúan válidamente previa investidura regular de sus integrantes, dentro de su competencia y en la forma que prescriba la ley.

Ninguna magistratura, ninguna persona ni grupo de personas pueden atribuirse, ni aun a pretexto de circunstancias extraordinarias, otra autoridad o derechos que los que expresamente se les hayan conferido en virtud de la Constitución o las leyes.

Todo acto en contravención a este artículo es nulo y originará las responsabilidades y sanciones que la ley señale.

Artículo 8º.-

El ejercicio de las funciones públicas obliga a sus titulares a dar estricto cumplimiento al principio de probidad en todas sus actuaciones.

Son públicos los actos y resoluciones de los órganos del Estado, así como sus fundamentos y los procedimientos que utilicen. Sin embargo, sólo una ley de quórum calificado podrá establecer la reserva o secreto de aquéllos o de éstos, cuando la publicidad afectare el debido cumplimiento de las funciones de dichos órganos, los derechos de las personas, la seguridad de la Nación o el interés nacional.

El Presidente de la República, los Ministros de Estado, los diputados y senadores, y las demás autoridades y funcionarios que una ley orgánica constitucional señale, deberán declarar sus intereses y patrimonio en forma pública.

Dicha ley determinará los casos y las condiciones en que esas autoridades delegarán a terceros la administración de aquellos bienes y obligaciones que supongan conflicto de interés en el ejercicio de su función pública. Asimismo, podrá considerar otras medidas apropiadas para resolverlos y, en situaciones calificadas, disponer la enajenación de todo o parte de esos bienes.

Artículo 9 º.-

El terrorismo, en cualquiera de sus formas, es por esencia contrario a los derechos humanos.

Una ley de quórum calificado determinará las conductas terroristas y su penalidad. Los responsables de estos delitos quedarán inhabilitados por el plazo de quince años para ejercer f unciones o cargos públicos, sean o no de elección popular, o de rector o director de establecimiento de educación, o para ejercer en ellos funciones de enseñanza ; para explotar un medio de comunicación social o ser director o administrador del mismo, o para desempeñar en él funciones relacionadas con la emisión o difusión de opiniones o informaciones; ni podrán ser dirigentes de organizaciones políticas o relacionadas con la educación o de carácter vecinal, profesional, empresarial, sindical, estudiantil o gremial en general, durante dicho plazo. Lo anterior se entiende sin perjuicio de otras inhabilidades o de las que por mayor tiempo establezca la ley.

Los delitos a que se refiere el inciso anterior serán considerados siempre comunes y no políticos para todos los efectos legales y no procederá respecto de ellos el indulto particular, salvo para conmutar la pena de muerte por la de presidio perpetuo.

Capítulo II.- Nacionalidad y Ciudadanía

Artículo 10.-

Son chilenos:

1º.- Los nacidos en el territorio de Chile, con excepción de los hijos de extranjeros que se encuentren en Chile en servicio de su Gobierno, y de los hijos de extranjeros transeúntes, todos los que, sin embargo, podrán optar por la nacionalidad chilena;

2 º.- Los hijos de padre o madre chilenos, nacidos en territorio extranjero. Con todo, se requerirá que alguno de sus ascendientes en línea recta de primer o segundo grado, haya adquirido la nacionalidad chilena en virtud de lo establecido en los números 1º, 3º ó 4º;

3 º.- Los extranjeros que obtuvieren carta de nacionalización en conformidad a la ley, y

4 º.- Los que obtuvieren especial gracia de nacionalización por ley.

La ley reglamentará los procedimientos de opción por la nacionalidad chilena; de otorgamiento, negativa y cancelación de las cartas de nacionalización, y la formación de un registro de todos estos actos.

Artículo 11.-

La nacionalidad chilena se pierde:

1º.- Por renuncia voluntaria manifestada ante autoridad chilena competente. Esta renuncia sólo producirá efectos si la persona, previamente, se ha nacionalizado en país extranjero; y

2º.- Por decreto supremo, en caso de prestación de servicios durante una guerra exterior a enemigos de Chile o de sus aliados;

3º.- Por cancelación de la carta de nacionalización, y

4 º.- Por ley que revoque la nacionalización concedida por gracia.

Los que hubieren perdido la nacionalidad chilena por cualquiera de las causales establecidas en este artículo, sólo podrán ser rehabilitados por ley.

Artículo 12.-

La persona afectada por acto o resolución de autoridad administrativa que la prive de su nacionalidad chilena o se la desconozca, podrá recurrir, por sí o por cualquiera a su nombre, dentro del plazo de treinta días, ante la Corte Suprema , la que conocerá como jurado y en tribunal pleno. La interposición del recurso suspenderá los efectos del acto o resolución recurridos.

Artículo 13.-

Son ciudadanos los chilenos que hayan cumplido dieciocho años de edad y que no hayan sido condenados a pena aflictiva.

La calidad de ciudadano otorga los derechos de sufragio, de optar a cargos de elección popular y los demás que la Constitución o la ley confieran.

Tratándose de los chilenos a que se refieren los números 2º y 4º del artículo 10, el ejercicio de los derechos que les confiere la ciudadanía estará sujeto a que hubieren estado avecindados en Chile por más de un año.

Artículo 14 .-

Los extranjeros avecindados en Chile por más de cinco años, y que cumplan con los requisitos señalados en el inciso primero del artículo 13, podrán ejercer el derecho de sufragio en los casos y formas que determine la ley.

Los nacionalizados en conformidad al nº 3º del artículo 10, tendrán opción a cargos públicos de elección popular sólo después de cinco años de estar en posesión de sus cartas de nacionalización.

Artículo 15.-

En las votaciones populares, el sufragio será personal, igualitario, secreto y voluntario.

Sólo podrá convocarse a votación popular para las elecciones y plebiscitos expresamente previstos en esta Constitución.

Artículo 16 .-

El derecho de sufragio se suspende:

1º.- Por interdicción en caso de demencia;

2º.- Por hallarse la persona acusada por delito que merezca pena aflictiva o por delito que la ley califique como conducta terrorista, y

3º.- Por haber sido sancionado por el Tribunal Constitucional en conformi dad al inciso séptimo del número 15º del artículo 19 de esta Constitución. Los que por esta causa se hallaren privados del ejercicio del derecho de sufragio lo recuperarán al término de cinco años, contado desde la declaración del Tribunal.

Esta suspensión no producirá otro efecto legal, sin perjuicio de lo dispuesto en el inciso séptimo del número 15º del artículo 19.

Artículo 17.-

La calidad de ciudadano se pierde:

1º.- Por pérdida de la nacionalidad chilena;

2º.- Por condena a pena aflictiva, y

3º.- Por condena por delitos que la ley califique como conducta terrorista y los relativos al tráfico de estupefacientes y que hubieren merecido, además, pena aflictiva .

Los que hubieren perdido la ciudadanía por la causal indicada en el número 2º, la recuperarán en conformidad a la ley, una vez extinguida su responsabilidad penal. Los que la hubieren perdido por las causales previstas en el número 3º podrán solicitar su rehabilitación al Senado una vez cumplida la condena.

Artículo 18.-

Habrá un sistema electoral público.

Una ley orgánica constitucional determinará su organización y funcionamiento, regulará la forma en que se realizarán los procesos electorales y plebiscitarios, en todo lo no previsto por esta Constitución y garantizará siempre la plena igualdad entre los independientes y los miembros de partidos políticos tanto en la presentación de candidaturas como en su participación en los señalados procesos. Dicha ley establecerá también un sistema de financiamiento, transparencia, límite y control del gasto electoral.

Una ley orgánica constitucional contemplará, además, un sistema de registro electoral, bajo la dirección del Servicio Electoral, al que se incorporarán, por el solo ministerio de la ley, quienes cumplan los requisitos establecidos por esta Constitución.

El resguardo del orden público durante los actos electorales y plebiscitarios corresponderá a las Fuerzas Armadas y Carabineros del modo que indique la ley.

Capítulo III.- De Los Derechos Y Deberes Constitucionales

Artículo 19

La Constitución asegura a todas las personas:

1º.- El derecho a la vida y a la integridad física y psíquica de la persona.

La ley protege la vida del que está por nacer.

La pena de muerte sólo podrá establecerse por delito contemplado en ley aprobada con quórum calificado.

Se prohíbe la aplicación de todo apremio ilegítimo;

2º.- La igualdad ante la ley. En Chile no hay persona ni grupo privilegiados. En Chile no hay esclavos y el que pise su territorio queda libre. Hombres y mujeres son iguales ante la ley.

Ni la ley ni autoridad alguna podrán establecer diferencias arbitrarias;

3º.- La igual protección de la ley en el ejercicio de sus derechos.

Toda persona tiene derecho a defensa jurídica en la forma que la ley señale y ninguna autoridad o individuo podrá impedir, restringir o perturbar la debida intervención del letrado si hubiere sido requerida. Tratándose de los integrantes de las Fuerzas Armadas y de Orden y Seguridad Pública, este derecho se regirá, en lo concerniente a lo administrativo y disciplinario, por las normas pertinentes de sus respectivos estatutos.

La ley arbitrará los medios para otorgar asesoramiento y defensa jurídica a quienes no puedan procurárselos por sí mismos. La ley señalará los casos y establecerá la forma en que las personas naturales víctimas de delitos dispondrán de asesoría y defensa jurídica gratuitas, a efecto de ejercer la acción penal reconocida por esta Constitución y las leyes.

Toda persona imputada de delito tiene derecho irrenunciable a ser asistida por un abogado defensor proporcionado por el Estado si no nombrare uno en la oportunidad establecida por la ley.

Nadie podrá ser juzgado por comisiones especiales, sino por el tribunal que señalare la ley y que se hallare establecido por ésta con anterioridad a la perpetración del hecho.

Toda sentencia de un órgano que ejerza jurisdicción debe fundarse en un proceso previo legalmente tramitado. Corresponderá al legislador establecer siempre las garantías de un procedimiento y una investigación racionales y justos.

La ley no podrá presumir de derecho la responsabilidad penal.

Ningún delito se castigará con otra pena que la que señale una ley promulgada con anterioridad a su perpetración, a menos que una nueva ley favorezca al afectado.

Ninguna ley podrá establecer penas sin que la conducta que se sanciona esté expresamente descrita en ella;

4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia;

5º.- La inviolabilidad del hogar y de toda forma de comunicación privada. El hogar sólo puede allanarse y las comunicaciones y documentos privados interceptarse, abrirse o registrarse en los casos y formas determinados por la ley;

6º.- La libertad de conciencia, la manifestación de todas las creencias y el ejercicio libre de todos los cultos que no se opongan a la moral, a las buenas costumbres o al orden público.

Las confesiones religiosas podrán erigir y conservar templos y sus dependencias bajo las condiciones de seguridad e higiene fijadas por las leyes y ordenanzas.

Las iglesias, las confesiones e instituciones religiosas de cualquier culto tendrán los derechos que otorgan y reconocen, con respecto a los bienes, las leyes actualmente en vigor. Los templos y sus dependencias, destinados exclusivamente al servicio de un culto, estarán exentos de toda clase de contribuciones ;

7º.- El derecho a la libertad personal y a la seguridad individual.

En consecuencia:

a) Toda persona tiene derecho de residir y permanecer en cualquier lugar de la República , trasladarse de uno a otro y entrar y salir de su territorio, a condición de que se guarden las normas establecidas en la ley y salvo siempre el perjuicio de terceros;

b) Nadie puede ser privado de su libertad personal ni ésta restringida sino en los casos y en la forma determinados por la Constitución y las leyes;

c) Nadie puede ser arrestado o detenido sino por orden de funcionario público expresamente facultado por la ley y después de que dicha orden le sea intimada en forma legal. Sin embargo, podrá ser detenido el que fuere sorprendido en delito flagrante, con el solo objeto de ser puesto a disposición del juez competente dentro de las veinticuatro horas siguientes.

Si la autoridad hiciere arrestar o detener a alguna persona, deberá, dentro de las cuarenta y ocho horas siguientes, dar aviso al juez competente, poniendo a su disposición al afectado. El juez podrá , por resolución fundada, ampliar este plazo hasta por cinco días, y hasta por diez días, en el caso que se investigaren hechos calificados por la ley como conductas terroristas;

d) Nadie puede ser arrestado o detenido, sujeto a prisión preventiva o preso, sino en su casa o en lugares públicos destinados a este objeto.

Los encargados de las prisiones no pueden recibir en ellas a nadie en calidad de arrestado o detenido, procesado o preso, sin dejar constancia de la orden correspondiente, emanada de autoridad que tenga facultad legal, en un registro que será público.

Ninguna incomunicación puede impedir que el funcionario encargado de la casa de detención visite al arrestado o detenido, procesado o preso, que se encuentre en ella. Este funcionario está obligado, siempre que el arrestado o detenido lo requiera, a transmitir al juez competente la copia de la orden de detención, o a reclamar para que se le dé dicha copia, o a dar él mismo un certificado de hallarse detenido aquel individuo, si al tiempo de su detención se hubiere omitido este requisito;

e) La libertad del imputado procederá a menos que la detención o prisión preventiva sea considerada por el juez como necesaria para las investigaciones o para la seguridad del ofendido o de la sociedad. La ley establecerá los requisitos y modalidades para obtenerla.

La apelación de la resolución que se pronuncie sobre la libertad del imputado por los delitos a que se refiere el artículo 9 °, será conocida por el tribunal superior que corresponda, integrado exclusivamente por miembros titulares. La resolución que la apruebe u otorgue requerirá ser acordada por unanimidad. Mientras dure la libertad, el imputado quedará siempre sometido a las medidas de vigilancia de la autoridad que la ley contemple ;

f) En las causas criminales no se podrá obligar al imputado o acusado a que declare bajo juramento sobre hecho propio; tampoco podrán ser obligados a declarar en contra de éste sus ascendientes, descendientes, cónyuge y demás personas que, según los casos y circunstancias, señale la ley;

g) No podrá imponerse la pena de confiscación de bienes, sin perjuicio del comiso en los casos establecidos por las leyes; pero dicha pena será procedente respecto de las asociaciones ilícitas;

h) No podrá aplicarse como sanción la pérdida de los derechos previsionales, e

i) Una vez dictado sobreseimiento definitivo o sentencia absolutoria, el que hubiere sido sometido a proceso o condenado en cualquier instancia por resolución que la Corte Suprema declare injustificadamente errónea o arbitraria, tendrá derecho a ser indemnizado por el Estado de los perjuicios patrimoniales y morales que haya sufrido. La indemnización será determinada judicialmente en procedimiento breve y sumario y en él la prueba se apreciará en conciencia;

8º.- El derecho a vivir en un medio ambiente libre de contaminación. Es deber del Estado velar para que este derecho no sea afectado y tutelar la preservación de la naturaleza.

La ley podrá establecer restricciones específicas al ejercicio de determinados derechos o libertades para proteger el medio ambiente;

9º.- El derecho a la protección de la salud.

El Estado protege el libre e igualitario acceso a las acciones de promoción, protección y recuperación de la salud y de rehabilitación del individuo.

Le corresponderá, asimismo, la coordinación y control de las acciones relacionadas con la salud.

Es deber preferente del Estado garantizar la ejecución de las acciones de salud, sea que se presten a través de instituciones públicas o privadas, en la forma y condiciones que determine la ley, la que podrá establecer cotizaciones obligatorias.

Cada persona tendrá el derecho a elegir el sistema de salud al que desee acogerse, sea éste estatal o privado;

10º.- El derecho a la educación.

La educación tiene por objeto el pleno desarrollo de la persona en las distintas etapas de su vida.

Los padres tienen el derecho preferente y el deber de educar a sus hijos. Corresponderá al Estado otorgar especial protección al ejercicio de este derecho.

Para el Estado es obligatorio promover la educación parvularia, para lo que financiará un sistema gratuito a partir del nivel medio menor, destinado a asegurar el acceso a éste y sus niveles superiores. El segundo nivel de transición es obligatorio, siendo requisito para el ingreso a la educación básica.

La educación básica y la educación media son obligatorias, debiendo el Estado financiar un sistema gratuito con tal objeto, destinado a asegurar el acceso a ellas de toda la población. En el caso de la educación media este sistema, en conformidad a la ley, se extenderá hasta cumplir los 21 años de edad.

Corresponderá al Estado, asimismo, fomentar el desarrollo de la educación en todos sus niveles; estimular la investigación científica y tecnológica, la creación artística y la protección e incremento del patrimonio cultural de la Nación.

Es deber de la comunidad contribuir al desarrollo y perfeccionamiento de la educación;

11º.- La libertad de enseñanza incluye el derecho de abrir, organizar y mantener establecimientos educacionales.

La libertad de enseñanza no tiene otras limitaciones que las impuestas por la moral, las buenas costumbres, el orden público y la seguridad nacional.

La enseñanza reconocida oficialmente no podrá orientarse a propagar tendencia político partidista alguna.

Los padres tienen el derecho de escoger el establecimiento de enseñanza para sus hijos.

Una ley orgánica constitucional establecerá los requisitos mínimos que deberán exigirse en cada uno de los niveles de la enseñanza básica y media y señalará las normas objetivas, de general aplicación, que permitan al Estado velar por su cumplimiento. Dicha ley, del mismo modo, establecerá los requisitos para el reconocimiento oficial de los establecimientos educacionales de todo nivel;

12º.- La libertad de emitir opinión y la de informar, sin censura previa, en cualquier forma y por cualquier medio, sin perjuicio de responder de los delitos y abusos que se cometan en el ejercicio de estas libertades, en conformidad a la ley, la que deberá ser de quórum calificado.

La ley en ningún caso podrá establecer monopolio estatal sobre los medios de comunicación social.

Toda persona natural o jurídica ofendida o injustamente aludida por algún medio de comunicación social, tiene derecho a que su declaración o rectificación sea gratuitamente difundida, en las condiciones que la ley determine, por el medio de comunicación social en que esa información hubiera sido emitida.

Toda persona natural o jurídica tiene el derecho de fundar, editar y mantener diarios, revistas y periódicos, en las condiciones que señale la ley.

El Estado, aquellas universidades y demás personas o entidades que la ley determine, podrán establecer, operar y mantener estaciones de televisión.

Habrá un Consejo Nacional de Televisión, autónomo y con personalidad jurídica, encargado de velar por el correcto funcionamiento de este medio de comunicación. Una ley de quórum calificado señalará la organización y demás funciones y atribuciones del referido Consejo.

La ley regulará un sistema de calificación para la exhibición de la producción cinematográfica;

13º.- El derecho a reunirse pacíficamente sin permiso previo y sin armas.

Las reuniones en las plazas, calles y demás lugares de uso público, se regirán por las disposiciones generales de policía;

14º.- El derecho de presentar peticiones a la autoridad, sobre cualquier asunto de interés público o privado, sin otra limitación que la de proceder en términos respetuosos y convenientes;

15º.- El derecho de asociarse sin permiso previo.

Para gozar de personalidad jurídica, las asociaciones deberán constituirse en conformidad a la ley.

Nadie puede ser obligado a pertenecer a una asociación.

Prohíbense las asociaciones contrarias a la moral, al orden público y a la seguridad del Estado.

Los partidos políticos no podrán intervenir en actividades ajenas a las que les son propias ni tener privilegio alguno o monopolio de la participación ciudadana; la nómina de sus militantes se registrará en el servicio electoral del Estado, el que guardará reserva de la misma, la cual será accesible a los militantes del respectivo partido; su contabilidad deberá ser pública; las fuentes de su financiamiento no podrán provenir de dineros, bienes, donaciones, aportes ni créditos de origen extranjero; sus estatutos deberán contemplar las normas que aseguren una efectiva democracia interna. Una ley orgánica constitucional establecerá un sistema de elecciones primarias que podrá ser utilizado por dichos partidos para la nominación de candidatos a cargos de elección popular, cuyos resultados serán vinculantes para estas colectividades, salvo las excepciones que establezca dicha ley. Aquellos que no resulten elegidos en las elecciones primarias no podrán ser candidatos, en esa elección, al respectivo cargo. Una ley orgánica constitucional regulará las demás materias que les conciernan y las sanciones que se aplicarán por el incumplimiento de sus preceptos, dentro de las cuales podrá considerar su disolución.

Las asociaciones, movimientos, organizaciones o grupos de personas que persigan o realicen actividades propias de los partidos políticos sin ajustarse a las normas anteriores son ilícitos y serán sancionados de acuerdo a la referida ley orgánica constitucional.

La Constitución Política garantiza el pluralismo político. Son inconstitucionales los partidos, movimientos u otras formas de organización cuyos objetivos, actos o conductas no respeten los principios básicos del régimen democrático y constitucional, procuren el establecimiento de un sistema totalitario, como asimismo aquellos que hagan uso de la violencia, la propugnen o inciten a ella como método de acción política. Corresponderá al Tribunal Constitucional declarar esta inconstitucionalidad.

Sin perjuicio de las demás sanciones establecidas en la Constitución o en la ley, las personas que hubieren tenido participación en los hechos que motiven la declaración de inconstitucionalidad a que se refiere el inciso precedente, no podrán participar en la formación de otros partidos políticos, movimientos u otras formas de organización política, ni optar a cargos públicos de elección popular ni desempeñar los cargos que se mencionan en los números 1) a 6) del artículo 57, por el término de cinco años, contado desde la resolución del Tribunal. Si a esa fecha las personas referidas estuvieren en posesión de las funciones o cargos indicados, los perderán de pleno derecho.

Las personas sancionadas en virtud de este precepto no podrán ser objeto de rehabilitación durante el plazo señalado en el inciso anterior. La duración de las inhabilidades contempladas en dicho inciso se elevará al doble en caso de reincidencia;

16º.- La libertad de trabajo y su protección.

Toda persona tiene derecho a la libre contratación y a la libre elección del trabajo con una justa retribución.

Se prohíbe cualquiera discriminación que no se base en la capacidad o idoneidad personal, sin perjuicio de que la ley pueda exigir la nacionalidad chilena o límites de edad para determinados casos.

Ninguna clase de trabajo puede ser prohibida, salvo que se oponga a la moral, a la seguridad o a la salubridad públicas, o que lo exija el interés nacional y una ley lo declare así. Ninguna ley o disposición de autoridad pública podrá exigir la afiliación a organización o entidad alguna como requisito para desarrollar una determinada actividad o trabajo, ni la desafiliación para mantenerse en éstos. La ley determinará las profesiones que requieren grado o título universitario y las condiciones que deben cumplirse para ejercerlas. Los colegios profesionales constituidos en conformidad a la ley y que digan relación con tales profesiones, estarán facultados para conocer de las reclamaciones que se interpongan sobre la conducta ética de sus miembros. Contra sus resoluciones podrá apelarse ante la Corte de Apelaciones respectiva. Los profesionales no asociados serán juzgados por los tribunales especiales establecidos en la ley.

La negociación colectiva con la empresa en que laboren es un derecho de los trabajadores, salvo los casos en que la ley expresamente no permita negociar. La ley establecerá las modalidades de la negociación colectiva y los procedimientos adecuados para lograr en ella una solución justa y pacífica. La ley señalará los casos en que la negociación colectiva deba someterse a arbitraje obligatorio, el que corresponderá a tribunales especiales de expertos cuya organización y atribuciones se establecerán en ella.

No podrán declararse en huelga los funcionarios del Estado ni de las municipalidades. Tampoco podrán hacerlo las personas que trabajen en corporaciones o empresas, cualquiera que sea su naturaleza, finalidad o función, que atiendan servicios de utilidad pública o cuya paralización cause grave daño a la salud, a la economía del país, al abastecimiento de la población o a la seguridad nacional. La ley establecerá los procedimientos para determinar las corporaciones o empresas cuyos trabajadores estarán sometidos a la prohibición que establece este inciso;

17º.- La admisión a todas las funciones y empleos públicos, sin otros requisitos que los que impongan la Constitución y las leyes;