Archivos de la etiqueta: Datos Salud

11May/21

Informe 9 de abril de 2021, Proyecto de Ley Orgánica de Protección de Datos Personales

Informe 9 de abril de 2021, Para Segundo Debate del Proyecto de Ley Orgánica de Protección de Datos Personales

PROYECTO DE LEY

EXPOSICIÓN DE MOTIVOS

Es de conocimiento general el espíritu cambiante de la sociedad en que vivimos; las nuevas tendencias y comportamientos componen un sinfín de mecanismos que enmarcan caminos y definen horizontes. El individuo en sí mismo pertenece a un conglomerado de oportunidades que siembra libertades, pero no siempre las materializa, esto en virtud de elementos que ajenos a los fines se apropia de ellos y los modifican.

El legislador en esta posición y en términos aristotélicos vendría a ser la justicia animada, en donde el justo medio de un todo revelará una sociedad fructífera, que no esté viciada por extremos equiparables a una inequidad, que dista de lo justo que en sí mismo debe ser permanente y acceder a todos los espacios para adjudicarse como tal.

En este contexto es imperante mencionar que el espacio en el que actualmente el individuo se desarrolla no se limita a sus expectativas, sino más bien, en sintonía con la evolución previamente mencionada, el sujeto es símbolo de conservación, labra estrategias que le permiten afianzarse a un terreno sólido y en el camino sobrevivir ante la vulneración de sus libertades, ya que como es conocido, todo aquel mecanismo que las genere será el mismo que las limitará.

Trasladándose al escenario actual, la colectividad ha experimentado cambios que por su irrevocable importancia han dejado precedentes en la historia, esto es por ejemplo un relativismo ideológico, nuevas formas de agrupación familiar, aumento en la esperanza de vida y en paralelo disminución de la tasa de natalidad y en particular la omnipresencia de la tecnología.

Es así que el individuo, aun víctima de las dificultades que con ello advienen, recolecta los aspectos positivos y disfruta de los avances en todo ámbito posible, en el caso puntual, la región digital que de la mano con el perfeccionamiento tecnológico extienden las posibilidades de un nuevo mundo, colaborando así no solo con la efectivización de procesos, sino también con el desarrollo económico, facilitando el vivir cotidiano creando redes de distribución de la información y generando en función a ello réditos económicos.

Es de admitir que, las personas se desenvuelven en una sociedad altamente conectada, esto permite que la provisión de distintos servicios y la comunicación, se realicen desde cualquier parte del mundo y en tiempo real. Las tecnologías de la información y comunicación (TIC) han impactado sustancialmente en la vida de las personas, tanto es así, que se han convertido en herramientas y procesos indispensables e ineludibles para la satisfacción de necesidades básicas de los seres humanos.

Su versatilidad permite que estas logren adaptarse a las necesidades y requerimientos de forma personalizada, es por eso que el ser humano las acopla en todas sus actividades manteniendo con ellas una relación incluso cercana a la dependencia. Como consecuencia de ello se ha generado la omnipresencia de las mismas, en la totalidad de las áreas en las que los individuos se desenvuelven (salud, comercio, educación, migración, cooperación internacional), respeto y garantía de derechos, cultura, entre otros).

Es indudable que las TIC representan un sin número de beneficios que tienen como objetivo mejorar la calidad de vida de los seres humanos, sin embargo, también se ha de reconocer que el mismo potencial ha sido invertido para configurar un espacio lleno de múltiples riesgos para las personas.

Esto en virtud de que los individuos no son conscientes del valor de sus datos, considerando que, usados de manera adecuada, pueden generar una serie de ventajas, no solo para tu titular, sino también para los proveedores de bienes o servicios públicos o privados que los procesan; pero cuando se tratan de forma irresponsable o abusiva pueden llegar a afectar gravemente la dignidad e integridad de los seres humanos, es así que, su recopilación, procesamiento y comunicación inadecuada puede significar una vulneración a derechos fundamentales como la vida, la salud, el acceso a servicios públicos, la integridad física, psicológica o sexual, entre muchos otros; lesiones que se han podido evidenciar a nivel mundial y que incluso ya se han familiarizado con la realidad ecuatoriana.

La casi arbitraria libertad con la que se mueve la información acaece desconcierto social por la ausencia de mecanismos de protección que controlen su tratamiento, eso en virtud de que gran parte de esta sujeta datos personales, que utilizados o tratados inadecuadamente pueden por ejemplo, alterar elecciones presidenciales, determinar quién recibe servicios de salud o alimenticios, ser una herramienta para la delincuencia organizada (trata de personas, narcotráfico o terrorismo). Situaciones que parecen lejanas a nuestra realidad; sin embargo, estas circunstancias se evidencian actualmente incluso en nuestro país, donde se han evidenciado robos, ataques o exposiciones ilegítimas de bases de datos de carácter público o privado que han generado perjuicios sociales y económicos.

En lo que respecta al siglo pasado la relación instituida entre el Estado y el individuo en cuanto a identificación mutua ha sido realmente escasa; el ambiente percibido en tal época se contenía en cajas de información registrada a mano que en virtud del tiempo se volvía frágil, quebrando consigo toda relación existente.

Actualmente el Estado constituye en sí una de las mayores fuentes de información en razón de la posesión de grandes bases de datos necesarias para la consecución de sus fines administrativos, convirtiéndolo en un efectivizador de procesos que atraviesa la delgada línea entre su posición garantista de derechos humanos y la susceptibilidad de vulnerarlos.

A lo largo de la historia, el ser humano ha sido testigo de grandes vulneraciones a la dignidad, debido al procesamiento de información con fines ajenos al interés general, eventos históricos como la Segunda Guerra Mundial no habrían dejado tantas víctimas, si aquellos que abusaron del poder no hubieran tenido en sus manos información que les permitiera aniquilar a millones de personas.

Hito histórico que parece ajeno a nuestra realidad territorial y actual, pero ejemplos como el proyecto SAFARI en la Francia de 1974 o el Plan Cóndor cultivado por los regímenes dictatoriales del Cono Sur que desencadenaron los “Archivos del terror” de Paraguay en 1993, evidencian lo peligroso que puede ser para el ser humano, no ser consciente del valor de su información.

Con la influencia actual de las tecnologías de la información y comunicación, y los procesos de analítica de datos, es cada vez más necesario entender su trascendencia; en el Ecuador, constantemente se suscitan circunstancias de afectación a derechos, debido al tratamiento inadecuado de datos personales, es muy común encontrar noticias que anuncian el robo de bases de datos, la modificación de las mismas para la obtención de beneficios ilegales, incluso, un intento de incidir en su derecho a elegir por la emisión de noticias falsas.

Es imperante, denotar que las transgresiones no solo se suscitan en el ámbito público, sino que también ocurren a nivel privado, con mayor frecuencia de la que el individuo percibe; en el Ecuador, cualquier abonado a servicios móviles, recibe innumerables llamadas para el ofrecimiento de planes celulares, de seguros y tarjetas de crédito, sin conocer cómo empresas con las que nunca han tenido relaciones obtienen su información y que a pesar de su incomodidad no pueden dejar de ser parte de estas redes.

Así mismo, son innumerables las denuncias por el inicio de procesos que tienen el objeto de deudas que en la mayoría de los casos son inexistentes o la denegación de acceso a servicios por criterios sin fundamento y en algunos casos discriminatorio.

Los datos en la actualidad se consideran activos digitales con gran valor económico, incluso equiparable al del dinero; los sujetos se enfrentan a una realidad en donde su información forma parte de un mercado negro, del que nadie habla pero es innegable.

Para enfrentar estas dificultades y aprovechar el potencial de las TIC para el desarrollo sostenible, generar confianza en línea y garantizar las oportunidades que brindan los adelantos tecnológicos, cada uno de los países, sobre la base de su estructura normativa propia, ha optado por desarrollar mecanismos de protección de las personas y sus datos.

Hay pocos Estados que no han desarrollado normativa alguna sobre la materia, o la que tienen es incompleta, dispersa o contradictoria, estos son los que mayor desventaja presentan no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social, lo cual evidencia la posibilidad real de quedar aún más rezagados.

En ese contexto, es indispensable dar certidumbre a usuarios, empresas, organizaciones y Estados, sobre todo en este momento en el cual la economía mundial se desplaza más hacia un espacio de información masiva, hiper-conectada, en tiempo real, de flujo incesante proveniente de internet de las cosas, automatizada con algoritmos de inteligencia artificial cada vez más sofisticados, y de la réplica incesante mediante tecnologías de registros distribuidos. Todo esto, unido a que los datos no tienen fronteras y que las plataformas y servicios son de libre disposición y se almacenan en centros de datos de todo el mundo, obliga a los países a realizar marcos jurídicos compatibles en distintos niveles: nacional, regional y mundial que faciliten el intercambio y al mismo tiempo respeten y protejan los derechos humanos.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombra por primera vez al Relator especial sobre el derecho a la privacidad en la era digital con la finalidad de que, entre otras, presente informes que incluya “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones.

En el mismo sentido, el 25 de mayo de 2018, entró en vigencia el Reglamento General Europeo de Protección de Datos Personales, su aplicación afecta a todos los países del mundo, ya que únicamente permite e incentiva que países que cuenten con niveles adecuados de protección puedan tratar datos de ciudadanos europeos.

Adicionalmente, es importante mencionar que en el año 2016 se suscribió el Protocolo de Adhesión de Ecuador al Acuerdo Comercial Multipartes con la Unión Europea, con el objetivo de buscar mejores condiciones para el intercambio de bienes y servicios entre los países miembros de la UE y el Estado ecuatoriano; este acuerdo, sin embargo, se ha visto afectado dado que para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que si cuentan con Ley de Protección de Datos Personales.

En virtud de estos antecedentes, y dada la urgencia de la legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

ASAMBLEA NACIONAL DE LA REPÚBLICA DE ECUADOR

EL PLENO

CONSIDERANDO

Que, el artículo 1 de la Constitución de la República dispone que el “Estado ecuatoriano es un Estado constitucional de derechos y justicia, social, democrático (…)”.

Que, el artículo 3 en sus numerales 1, 5 y 8 de la Carta Magna determinan que son deberes primordiales del Estado “1 Garantizar sin discriminación alguna el efectivo goce de los derechos establecidos en la Constitución y en los instrumentos internacionales, en particular la educación, la salud, la alimentación, la seguridad social y el agua para sus habitantes. 5 Planificar el desarrollo nacional, erradicar la pobreza, promover el desarrollo sustentable y la redistribución equitativa de los recursos y la riqueza, para acceder al buen vivir. 8 Garantizar a sus habitantes el derecho a una cultura de paz, a la seguridad integral y a vivir en una sociedad democrática y libre de corrupción.”;

Que, el numeral 1 del artículo 11 de la Norma Suprema establece que “Los derechos se podrán ejercer, promover y exigir de forma individual o colectiva ante las autoridades competentes, estas autoridades garantizarán su cumplimiento.”;

Que el numeral 2 del artículo 11 de la Norma Suprema prescribe que “Todas las personas son iguales y gozarán de los mismos derechos y oportunidades”;

Que, el numeral 3 del artículo 11 de la Constitución de la República preceptúa que “Los derechos y garantías establecidas en la Constitución y en los instrumentos internacionales de derechos humanos serán de directa e inmediata aplicación por y ante cualquier servidora o servidor público, administrativo o judicial, de oficio o a petición de parte”;

Que, el numeral 8 del artículo 11 de la Norma Suprema dispone que “El contenido de los derechos y garantías establecidos en la Constitución y en los instrumentos internacionales de derechos humanos, no excluirá los demás derechos derivados de la dignidad de las personas, comunidades, pueblos y nacionalidades, que sean necesarios para su pleno desenvolvimiento. Será inconstitucional cualquier acción u omisión de carácter regresivo que disminuya, menoscabe o anule injustificadamente el ejercicio de los derechos”,

Que, el artículo 16 numerales 1 y 2 de la Carta Magna determina que “Todas las personas, en forma individual o colectiva, tienen derecho a 1 Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos 2 El acceso universal a las tecnologías de información y comunicación”;

Que, el artículo 17 numeral 2 de la Norma Suprema preceptúa que “El Estado fomentará pluralidad y la diversidad en la comunicación, y al efecto 2 Facilitará la creación y el fortalecimiento de medios de comunicación públicos, privados y comunitarios, así como el acceso universal a las tecnologías de la información y comunicación en especial para las personas y colectividades que carezcan de dicho acceso o lo tengan de forma limitada”;

Que, el artículo 26 de la Constitución de la República reconoce que “La educación es un derecho de las personas a lo largo de su vida y un deber inexcusable el Estado. Constituye un área prioritaria de la política pública y de la inversión estatal, garantía de la igualdad e inclusión social v condición indispensable para el buen vivir. Las personas, las familias y la sociedad tienen el derecho y la responsabilidad de participar en el proceso educativo”;

Que, el artículo 35 de la Carta Magna establece que “Las personas adultas mayores, niñas, niños y adolescentes, mujeres embarazadas, personas con discapacidad, personas privadas de libertad y quienes adolezcan de enfermedades catastróficas o de alta complejidad, recibirán atención prioritaria y especializada en los ámbitos públicos y privado. La misma atención prioritaria recibirán las personas en situación de riesgo, las víctimas de violencia doméstica y sexual, maltrato infantil, desastres naturales o antropogénicos. El Estado prestará especial protección a las personas en condición de doble vulnerabilidad.”,

Que, el artículo 44 de la Norma Suprema dispone que “El Estado, la sociedad, y la familia promoverán de forma prioritaria el desarrollo integral de los niñas, niños y adolescentes, y asegurarán el ejercicio pleno de sus derechos, se atenderá al principio de su interés superior y sus derechos prevalecerán sobre los de las demás personas. Las niñas, niños y adolescentes tendrán derecho a su desarrollo integral, entendido como proceso de crecimiento, maduración y despliegue de su intelecto y de sus capacidades, potencialidades y aspiraciones, en un entorno familiar, escolar, social y comunitario de efectividad v seguridad. Este entorno permitirá la satisfacción de sus necesidades sociales, afectivo-emocionales y culturales, con el apoyo de políticas intersectoriales nacionales y locales.”,

Que, el artículo 66 numeral 19 de la Constitución de la República reconoce y garantiza a las personas: “19 El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”,’

Que, el numeral 6 del artículo 76 de la Carta Magna determina que “En todo proceso que se determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso que incluirá las siguientes garantías básicas 6 La ley establecerá la debida proporcionalidad entre las infracciones y las sanciones penales, administrativas o de otra naturaleza.”

Que, el artículo 92 de la Norma Suprema prescribe que “Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”;

Que, el artículo 227 de la Constitución de la República establece que “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación.”

Que, el artículo 277 de la Constitución de la República determina que “Para la consecución del buen vivir, serán deberes generales del Estado 1 Garantizar los derechos de las personas, las colectividades y la naturaleza 2 Dirigir, planificar y regular el proceso de desarrollo 3 Generar y ejecutar las políticas públicas y controlar y sancionar su incumplimiento 4 Producir bienes, crear y mantener infraestructura y proveer servicios públicos 5 Impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley 6 Promover e impulsar la ciencia, la tecnología, las artes, los saberes ancestrales y en general las actividades de la iniciativa creativa, comunitaria, asociativa, cooperativa y privada.”;

Que, el artículo 417 de la Norma Suprema dispone que “Los tratados internacionales ratificados por el Ecuador se sujetarán a lo establecido en la Constitución. En el caso de los tratados y otros instrumentos internacionales de derechos humano se aplicarán los principios pro ser humano, de no restricción de derechos, de aplicabilidad directa y de cláusula abierta establecida en la Constitución”;

Que, el numeral 3 del artículo 423 de la Constitución de la República prevé que “La integración en especial con los países de Latinoamérica y el Caribe será un objetivo estratégico del Estado. En todas las instancias y procesos de integración, el Estado ecuatoriano se comprometerá a 3 Fortalecer la armonización de las legislaciones nacionales con énfasis en los derechos (..), de acuerdo con los principios de progresividad y no regresividad.”;

Que, el artículo 424 de la Carta Magna prescribe que “La Constitución es la norma suprema y prevalece e sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales, en caso contrario carecerán de eficacia jurídica. La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público.”;

Que, la Resolución 45/95 de 14 de diciembre de 1990 de la Organización de las Naciones Unidas adopta principios rectores para la reglamentación de los ficheros computarizados de datos personales, garantías mínimas que deberán preverse en legislaciones nacionales para efectivizar este derecho;

Que, uno de los ejes de la Estrategia acordada en el año 2016 de la red Iberoamericana de Datos Personales 2020 consiste en “Impulsar y contribuir al fortalecimiento y adecuación de los procesos regulatorios en la región, mediante la elaboración de directrices que sirvan de parámetros para futuras regulaciones o para revisión de las existentes en materia de protección de datos personales”;

Que, el 20 de junio de 2017 se aprobaron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos;

Que, el Comité Jurídico Interamericano de la Organización de Estados Americanos adoptó la propuesta de declaración de principios de privacidad y protección de datos personales en las Américas;

Que, la Organización de Estados Americanos el 27 de marzo de 2015 desarrolló el Proyecto de Ley Modelo sobre Protección de datos Personales;

Que, la protección de datos personales forma parte de los ejes estratégicos para la construcción de la sociedad de la información y el conocimiento en el Ecuador conforme el Libro Blanco de la Sociedad de la Información y del Conocimiento 2018;

Que, la Acción Estratégica clave del enfoque para Gobierno de protección de datos personales del Eje 6 del Plan Nacional de la Sociedad de la Información y del Conocimiento 2018-2021, es “Promulgar una ley orgánica de protección de datos personales para garantizar el derecho constitucional.”;

Que, el principio de Legalidad de la Carta Iberoamericana de Gobierno Electrónico del año 2007 establece que “(…) el uso de comunicaciones electrónicas promovidas por la Administración Pública deberá tener observancia de las normas en materia de protección de datos personales”, con el objetivo de precautelar el derecho que tienen los ciudadanos a relacionarse electrónicamente con el Estado;

Que, la Estrategia 3 del Programa de Gobierno Abierto del Plan Nacional de Gobierno Electrónico apunta a “Impulsar la protección de la información y datos personales”; y,

En uso de la atribución que le confiere el número 6 del artículo 120 de la Constitución de la República, expide lo siguiente:

LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. ÁMBITO DE APLICACIÓN INTEGRAL

Artículo 1.- Objeto y finalidad

El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.

Artículo 2. Ámbito de aplicación material

La presente ley se aplicará al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior. La ley no será aplicable a:

a) Personas naturales que utilicen estos datos en la realización de actividades familiares o domésticas;

b) Personas fallecidas, sin perjuicio de lo establecido en el artículo 28 de la presente Ley;

c) Datos anonimizados, en tanto no sea posible identificar a su titular. Tan pronto los datos dejen de estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones de esta ley, especialmente la de contar con una base de licitud para continuar tratando los datos de manera no anonimizada o disociada;

d) Actividades periodísticas y otros contenidos editoriales;

e) Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado, en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad;

f) Datos o bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales. En cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad; y

g) Datos que identifican o hacen identificable a personas jurídicas. Son accesibles al público y susceptibles de tratamiento los datos personales referentes al contacto de profesionales y los datos de comerciantes, representantes y socios y accionistas de personas jurídicas y servidores públicos, siempre y cuando se refieran al ejercicio de su profesión, oficio, giro de negocio, competencias, facultades, atribuciones o cargo y se trate de nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, y, número de teléfono profesional. En el caso de los servidores públicos, además serán de acceso público y susceptibles de tratamiento de datos, el histórico y vigente de la declaración patrimonial y de su remuneración

Artículo 3.- Ámbito de aplicación territorial

Sin perjuicio de la normativa establecida en los instrumentos internacionales ratificados por el Estado ecuatoriano que versen sobre esta materia, se aplicará la presente Ley cuando:

1. El tratamiento de datos personales se realice en cualquier parte del territorio nacional;

2. El responsable o encargado del tratamiento de datos personales se encuentre domiciliado en cualquier parte del territorio nacional;

3. Se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador.; y

4. Al responsable o encargado del tratamiento de datos personales, no domiciliado en el territorio nacional, le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público.

Artículo 4.- Términos y definiciones

Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.

Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.

Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.

Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera. Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apatridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales. Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros.

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Entidad Certificadora: Entidad reconocida por la Autoridad de Protección de Datos Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos personales. Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado. Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otrosdecide sobre la finalidad y el tratamiento de datos personales.

Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al responsable o al encargado del tratamiento de datos personales, de haber implementado mejores prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Titular: Persona natural cuyos datos son objeto de tratamiento.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

Artículo 5.- Integrantes del sistema de protección de datos personales

Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;

2) Responsable del tratamiento;

3) Encargado del tratamiento;

4) Destinatario;

5) Autoridad de Protección de Datos Personales; y,

6) Delegado de protección de datos personales.

Artículo 6.- Normas aplicables al ejercicio de derechos

El ejercicio de los derechos previstos en esta Ley se canalizarán a través del responsable del tratamiento, Autoridad de Protección de Datos Personales o jueces competentes, de conformidad con el procedimiento establecido en la presente Ley y su respectivo Reglamento de aplicación. El Reglamento a esta Ley u otra norma secundaria no podrán limitar al ejercicio de los derechos.

Artículo 7.- Tratamiento legítimo de datos personas

El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades específicas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales, del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.

Artículo 8.- Consentimiento

Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la manifestación de la voluntad sea: Libre, es decir, cuando se encuentre exenta de vicios del consentimiento; Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento; Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia; Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular; El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, para lo cual el responsable del tratamiento de datos personales establecerá mecanismos que garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al proceder con el cual recabó el consentimiento.

El tratamiento realizado antes de revocar el consentimiento es lícito, en virtud de que este no tiene efectos retroactivos. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste que dicho consentimiento se otorga para todas ellas.

Artículo 9.- Interés legítimo

Cuando el tratamiento de datos personales tiene como fundamento el interés legítimo:

a) únicamente podrán ser tratados los datos que sean estrictamente necesarios para la realización de la finalidad.

b) el responsable debe garantizar que el tratamiento sea transparente para el titular.

c) la Autoridad de Protección de Datos puede requerir al responsable un informe con de riesgo para la protección de datos, en el cual se verificará si no hay amenazas concretas a las expectativas legítimas de los titulares y a sus derechos fundamentales.

CAPÍTULO II. PRINCIPIOS

Artículo 10.- Principios

Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:

A. Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

B. Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

C. Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

D. Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

E. Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

F. Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma de las categorías especiales de datos.

G. Confidencialidad.- El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

H. Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.

Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del titular.

b) Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.

c) Fuesen obtenidos de un registro público por el responsable.

I. Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.

J. Seguridad de datos personales.- Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

K. Responsabilidad proactiva y demostrada.- El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales. El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.

L. Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

M. Independencia del control.- Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.

CAPÍTULO III. DERECHOS

Artículo 11.- Normativa especializada

Los datos personales cuyo tratamiento se encuentre regulado en normativa especializada en materia de ejercicio de la libertad de expresión, sectores regulados por normativa específica, gestión de riesgos, desastres naturales, seguridad nacional y defensa del Estado; y, los datos personales que deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la normativa vigente, estarán sujetos a los principios establecidos en sus propias normas y los principios establecidos en esta Ley, en los casos que corresponda y sea de aplicación favorable. En todo caso deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.

Artículo 12.- Derecho a la información

El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:

1) Los fines del tratamiento;

2) La base legal para el tratamiento;

3) Tipos de tratamiento;

4) Tiempo de conservación;

5) La existencia de una base de datos en la que constan sus datos personales;

6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;

7) Otras finalidades y tratamientos ulteriores;

8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;

9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;

10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;

11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;

12) El efecto de suministrar datos personales erróneos o inexactos;

13) La posibilidad de revocar el consentimiento;

14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.

15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;

16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;

17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal. Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.

La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.

En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley.

Artículo 13.- Derecho de acceso

El titular tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento acceso a todos sus datos personales y a la información detallada en el artículo precedente, sin necesidad de presentar justificación alguna. El responsable del tratamiento de datos personales deberá establecer métodos razonables que permitan el ejercicio de este derecho, el cual deberá ser atendido dentro del plazo de quince (15) días. El derecho de acceso no podrá ejercerse de forma tal que constituya abuso del derecho.

Artículo 14.- Derecho de rectificación y actualización

El titular tiene el derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.

Para tal efecto, el titular deberá presentar los justificativos del caso, cuando sea pertinente. El responsable de tratamiento deberá atender el requerimiento en un plazo de quince (15) días y en este mismo plazo, deberá informar al destinatario de los datos, de ser el caso, sobre la rectificación, a fin de que lo actualice.

Artículo 15.- Derecho de eliminación

El titular tiene derecho a que el responsable del tratamiento suprima sus datos personales, cuando:

1) El tratamiento no cumpla con los principios establecidos en la presente ley;

2) El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;

3) Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

4) Haya vencido el plazo de conservación de los datos personales;

5) El tratamiento afecte derechos fundamentales o libertades individuales;

6) Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna; o,

7) Exista obligación legal.

El responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del titular y será gratuito.

Artículo 16.- Derecho de oposición

El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:

1) No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.

2) El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.

3) Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario.

El responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.

Esta solicitud deberá ser atendida dentro del plazo de quince (15) días

Artículo 17.- Derecho a la portabilidad

El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. La Autoridad de Protección de Datos Personales deberá dictar la normativa para el ejercicio del derecho a la portabilidad.

El titular podrá solicitar que el responsable del tratamiento realice la transferencia o comunicación de sus datos personales a otro responsable del tratamiento en cuanto fuera técnicamente posible y sin que el responsable pueda aducir impedimento de cualquier orden con el fin de ralentizar el acceso, la transmisión o reutilización de datos por parte del titular o de otro responsable del tratamiento. Luego de completada la transferencia de datos, el responsable que lo haga procederá a su eliminación, salvo que el titular disponga su conservación. El responsable que ha recibido la información asumirá las responsabilidades contempladas en esta Ley. Para que proceda el derecho a la portabilidad de datos es necesario que se produzca al menos una de las siguientes condiciones:

1) Que el titular haya otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. La transferencia o comunicación se hará entre responsables del tratamiento de datos personales cuando la operación sea técnicamente posible; en caso contrario los datos deberán ser transmitidos directamente al titular.

2) Que el tratamiento se efectúe por medios automatizados;

3) Que se trate de un volumen relevante de datos personales, según los parámetros definidos en el reglamento de la presente ley; o,

4) Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos del responsable o encargado del tratamiento de datos personales, o del titular en el ámbito del derecho laboral y seguridad social.

Esta transferencia o comunicación debe ser económica y financieramente eficiente, expedita y sin trabas.

No procederá este derecho cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable del tratamiento de datos personales con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

Artículo 18.- Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad

Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad. No proceden los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad, en los siguientes casos:

1) Si el solicitante no es el titular de los datos personales o su representante legal no se encuentre debidamente acreditado;

2) Cuando los datos son necesarios para el cumplimiento de una obligación legal o contractual;

3) Cuando los datos son necesarios para el cumplimiento de una orden judicial, resolución o mandato motivado de autoridad pública competente;

4) Cuando los datos son necesarios para la formulación, ejercicio o defensa de reclamos o recursos;

5) Cuando se pueda causar perjuicios a derechos o afectación a intereses legítimos de terceros y ello sea acreditado por el Responsable de la base de datos al momento de dar respuesta al titular a su solicitud de ejercicio del derecho respectivo;

6) Cuando se pueda obstaculizar actuaciones judiciales o administrativas en curso, debidamente notificadas;

7) Cuando los datos son necesarios para ejercer el derecho a la libertad de expresión y opinión;

8) Cuando los datos son necesarios para proteger el interés vital del interesado o de otra persona natural;

9) En los casos en los que medie el interés público, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

10) En el tratamiento de datos personales que sean necesarios para el archivo de información que constituya patrimonio del Estado, investigación científica, histórica o estadística.

Artículo 19.- Derecho a la suspensión del tratamiento

El titular tendrá derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las condiciones siguientes:

1) Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos;

2) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

3) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y,

4) Cuando el interesado se haya opuesto al tratamiento en virtud del artículo 31 de la presente ley, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

De existir negativa por parte del responsable o encargado del tratamiento de datos personales, y el titular recurra por dicha decisión ante la Autoridad de Protección de Datos Personales, esta suspensión se extenderá hasta la resolución del procedimiento administrativo.

Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos, deberá colocarse en la base de datos, en donde conste la información impugnada, que ésta ha sido objeto de inconformidad por parte del titular. El responsable de tratamiento podrá tratar los datos personales, que han sido objeto del ejercicio del presente derecho por parte del titular, únicamente, en los siguientes supuestos: para la formulación, el ejercicio o la defensa de reclamaciones; con el objeto de proteger los derechos de otra persona natural o jurídica o por razones de interés público importante.

Artículo 20.- Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

El titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, para lo cual podrá:

a. Solicitar al responsable del tratamiento una explicación motivada sobre la decisión tomada por el responsable o encargado del tratamiento de datos personales;

b. Presentar observaciones;

c. Solicitar los criterios de valoración sobre el programa automatizado; o,

d. Solicitar al responsable información sobre los tipos de datos utilizados y la fuente de la cual han sido obtenidos los mismos; e. Impugnar la decisión ante el responsable o encargado del tratamiento

No se aplicará este derecho cuando:

1. La decisión es necesaria para la celebración o ejecución de un contrato entre el titular y el responsable o encargado del tratamiento de datos personales;

2. Está autorizada por la normativa aplicable, orden judicial, resolución o mandato motivado de autoridad técnica competente, para lo cual se deberá establecer medidas adecuadas para salvaguardar los derechos fundamentales y libertades del titular; o,

3. Se base en el consentimiento explicito del titular.

4. La decisión no conlleve impactos graves o riesgos verificables para el titular. No se podrá exigir la renuncia a este derecho en forma adelantada a través de contratos de adhesión masivos.

A más tardar en el momento de la primera comunicación con el titular de los datos personales, para informar una decisión basada únicamente en valoraciones automatizadas, este derecho le será informado explícitamente por cualquier medio idóneo.

Artículo 21.- Derecho de niñas, niños y adolescentes a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

Además de los presupuestos establecidos en el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal; o, cuando dicho tratamiento esté destinado a salvaguardar un interés público esencial, el cual se evalúe en atención a los estándares internacionales de derechos humanos, y como mínimo satisfaga los criterios de legalidad, proporcionalidad y necesidad, y además incluya salvaguardas específicas para proteger los derechos fundamentales de los interesados. Los adolescentes, en ejercicio progresivo de sus derechos, a partir de los 15 años, podrán otorgar, en calidad de titulares, su consentimiento explícito para el tratamiento de sus datos personales, siempre que se les especifique con claridad sus fines.

Artículo 22.- Derecho de consulta

Las personas tienen derecho a la consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales, de conformidad con la presente Ley.

Artículo 23. Derecho a la educación digital

Las personas tienen derecho al acceso y disponibilidad del conocimiento, aprendizaje, preparación, estudio, formación, capacitación, enseñanza e instrucción relacionados con el uso y manejo adecuado, sano, constructivo, seguro y responsable de las tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana, los derechos fundamentales y libertades individuales con especial énfasis en la intimidad, la vida privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el derecho a la protección de datos personales, así como promover una cultura sensibilizada en el derecho de protección de datos personales.

El derecho a la educación digital tendrá un carácter inclusivo sobre todo en lo que respecta a las personas con necesidades educativas especiales.

El sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo incluir dicha temática en su proceso de formación.

Artículo 24.- Ejercicio de derechos

El Estado, entidades educativas, organizaciones de la sociedad civil, proveedores de servicios de la sociedad de la información y el conocimiento, y otros entes relacionados, dentro del ámbito de sus relaciones, están obligados a proveer información y capacitación relacionadas con el uso y tratamiento responsable, adecuado y seguro de datos personales de niñas, niños y adolescentes, tanto a sus titulares como a sus representantes legales, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Los adolescentes mayores de doce (12) años y menores de quince (15) años, así como las niñas y niños, para el ejercicio de sus derechos necesitarán de su representante legal. Los adolescentes mayores de quince (15) años y menores de dieciocho (18) años, podrán ejercitarlos de forma directa ante la Autoridad de Protección de Datos Personales o ante el responsable de la base de datos personales del tratamiento.

Los derechos del titular son irrenunciables. Será nula toda estipulación en contrario.

CAPÍTULO IV. CATEGORÍAS ESPECIALES DE DATOS

Artículo 25.- Categorías especiales de datos personales

Se considerarán categorías especiales de datos personales, los siguientes:

a) Datos sensibles;

b) Datos de niñas, niños y adolescentes;

c) Datos de salud; y,

d) Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad.

Artículo 26.- Tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias:

a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificandose claramente sus fines.

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social.

c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.

d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos.

e) El tratamiento se lo realiza por orden de autoridad judicial.

f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular.

g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente ley.

Artículo 27.- Datos personales de personas fallecidas

Los titulares de derechos sucesorios de las personas fallecidas, podrán dirigirse al responsable del tratamiento de datos personales con el objeto de solicitar el acceso, rectificación y actualización o eliminación de los datos personales del causante, siempre que el titular de los datos no haya, en vida, indicado otra utilización o destino para sus datos.

Las personas o instituciones que la o el fallecido haya designado expresamente para ello, podrán también solicitar con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste; y, en su caso, su rectificación, actualización o eliminación.

En caso de fallecimiento de niñas, niños, adolescentes o personas que la ley reconozca como incapaces, las facultades de acceso, rectificación, actualización o eliminación, podrán ser ejercidas por quien hubiese sido su último representante legal. El Reglamento a la presente ley establecerá los mecanismos para el ejercicio de las facultades enunciadas en el presente artículo.

Artículo 28.- Datos crediticios

Salvo prueba en contrario será legítimo y lícito el tratamiento de datos destinados a informar sobre la solvencia patrimonial o crediticia, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor. Tales datos pueden ser utilizados solamente para esa finalidad de análisis y no serán comunicados o difundidos, ni podrán tener cualquier finalidad secundaria.

La protección de datos personales crediticios se sujetará a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales.

Sin perjuicio de lo anterior, en ningún caso podrán comunicarse los datos crediticios relativos a obligaciones de carácter económico, financiero, bancario o comercial una vez transcurridos cinco años desde que la obligación a la que se refieran se haya hecho exigible.

Artículo 29- Derechos de los Titulares de Datos Crediticios

1. Sin perjuicio de los derechos reconocidos en esta Ley, los Titulares de Datos Crediticios tienen los siguientes derechos:

a) Acceder de forma personal a la información de la cual son titulares;

b) Que el reporte de crédito permita conocer de manera clara y precisa la condición en que se encuentra su historial crediticio; y,

c) Que las fuentes de información actualicen, rectifiquen o eliminen, según el caso, la información que fuese ilícita, falsa, inexacta, errónea, incompleta o caduca

2. Sobre el derecho de acceso por el Titular del Dato Crediticio, éste será gratuito, cuantas veces lo requiera, respecto de la información que sobre sí mismos esté registrada ante los prestadores de servicios de referencia crediticia y a través de los siguientes mecanismos:

a) Observación directa a través de pantallas que los prestadores del servicio de referencia crediticia pondrán a disposición de dichos titulares; y,

b) Entrega de impresiones de los reportes que a fin de que el Titular del Dato Crediticio compruebe la veracidad y exactitud de su contenido, sin que pueda ser utilizado con fines crediticios o comerciales.

3. Sobre los derechos de actualización, rectificación o eliminación, el Titular del Dato Crediticio podrá exigir estos derechos frente a las fuentes de información mediante solicitud escrita. Las fuentes de información, dentro del plazo de quince días de presentada la solicitud, deberán resolverla admitiéndola o rechazándola motivadamente. El Titular del Dato Crediticio tiene derecho a solicitar a los prestadores del servicio de referencias crediticias que, en tanto se sigue el proceso de revisión, señalen en los reportes de crédito que emitan, que la información materia de la solicitud está siendo revisada a pedido del titular.

Artículo 30.- Datos relativos a la salud

Las instituciones que conforman el Sistema Nacional de Salud y los profesionales de la salud pueden recolectar y tratar los datos relativos a la salud de sus pacientes que estén o hubiesen estado bajo tratamiento de aquellos, de acuerdo a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales en coordinación con la autoridad sanitaria nacional. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento. No se requerirá el consentimiento del titular para el tratamiento de datos de salud cuando ello sea necesario por razones de interés público esencial en el ámbito de la salud, el que en todo caso deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular; Asimismo, tampoco se requerirá el consentimiento del titular cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como en el caso de amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, siempre y cuando se establezcan medidas adecuadas y específicas para proteger los derechos y libertades del titular y, en particular, el secreto profesional.

Artículo 31.- Tratamiento de datos relativos a la salud

Todo tratamiento de datos relativos a la salud deberán cumplir con los siguientes parámetros mínimos y aquellos que determine la Autoridad de Protección de Datos Personales en la normativa emitida para el efecto:

1. Los datos relativos a la salud generados en establecimientos de salud públicos o privados, serán tratados cumpliendo los principios de confidencialidad y secreto profesional. El titular de la información deberá brindar su consentimiento previo conforme lo determina esta Ley, salvo en los casos en que el tratamiento sea necesario para proteger intereses vitales del interesado, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; o sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de la legislación especializada sobre la materia o en virtud de un contrato con un profesional sanitario. En este último caso el tratamiento sólo podrá ser realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con la legislación especializada sobre la materia o con las demás normas que al respecto pueda establecer la Autoridad.

2. Los datos relativos a la salud que se traten, siempre que sea posible, deberán ser previamente anonimizados o seudonimizados, evitando la posibilidad de identificar a los titulares de los mismos.

3. Todo tratamiento de datos de salud anonimizados deberá ser autorizado previamente por la Autoridad de Protección de Datos Personales. Para obtener la autorización mencionada, el interesado deberá presentar un protocolo técnico que contenga los parámetros necesarios que garanticen la protección de dichos datos y el informe previo favorable emitido por la Autoridad Sanitaria.

Artículo 32.- Tratamiento de datos de salud por entes privados y públicos con fines de investigación

Los datos relativos a salud que consten en las instituciones que conforman el Sistema Nacional de Salud, podrán ser tratados por personas naturales y jurídicas privadas y públicas con fines de investigación científica, siempre que según el caso encuentren anonimizados, o dicho tratamiento sea autorizado por la Autoridad de Protección de Datos Personales, previo informe de la Autoridad Sanitaria Nacional.

CAPÍTULO V. TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS

Artículo 33.- Transferencia o comunicación de datos personales

Los datos personales podrán transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y se cuente, además, con el consentimiento del titular. Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de datos personales el Responsable del tratamiento haya entregado información suficiente al titular que le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien se pretende transferir o comunicar dichos datos.

Artículo 34.- Acceso a datos personales por parte del encargado

No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 35.- Acceso a datos personales por parte de terceros

No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.

El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del

tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.

El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 36.- Excepciones de consentimiento para la transferencia o comunicación de datos personales

No es necesario contar con el consentimiento del titular para la transferencia o comunicación de datos personales, en los siguientes supuestos:

1) Cuando los datos han sido recogidos de fuentes accesibles al público;

2) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica entre el responsable de tratamiento y el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con base de datos. En este caso la transferencia o comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;

3) Cuando los datos personales deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la norma vigente;

4) Cuando la comunicación se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando dichos datos se encuentren debidamente disociados o a lo menos anonimizados, y,

5) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que implique intereses vitales de su titular y este se encontrare impedido de otorgar su consentimiento.

6) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para realizar los estudios epidemiológicos de interés público, dando cumplimiento a los estándares internacionales en la materia de derechos humanos, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad. El tratamiento deberá ser de preferencia anonimizado, y en todo caso agregado, una vez pasada la urgencia de interés público. Cuando sea requerido el consentimiento del titular para que sus datos personales sean comunicados a un tercero, este puede revocarlo en cualquier momento, sin necesidad de que medie justificación alguna. La presente ley obligatoriamente debe ser aplicada por el destinatario, por el solo hecho de la comunicación de los datos; a menos que estos hayan sido anonimizados o sometidos a un proceso de

CAPÍTULO VI. SEGURIDAD DE DATOS PERSONALES

Artículo 37.- Seguridad de datos personales

El responsable o encargado del tratamiento de datos personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales, para lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos.

El responsable o encargado del tratamiento de datos personales, deberá implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales. El responsable o encargado del tratamiento de datos personales deberá evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados. Entre otras medidas, se podrán incluir las siguientes:

1) Medidas de anonimización, seudonomización o cifrado de datos personales;

2) Medidas dirigidas a mantener la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios del tratamiento de datos personales y el acceso a los datos personales, de forma rápida en caso de incidentes; y

3) Medidas dirigidas a mejorar la resiliencia técnica, física, administrativa, y jurídica.

4) Los responsables y encargados del tratamiento de datos personales, podrán acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de Datos Personales.

Artículo 38.- Medidas de seguridad en el ámbito del sector público

El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales.

El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información.

Artículo 39.- Protección de datos personales desde el diseño y por defecto

Se entiende a la protección de datos desde el diseño como el deber del responsable del tratamiento de tener en cuenta, en las primeras fases de concepción y diseño del proyecto, que determinados tipos de tratamientos de datos personales entrañan una serie de riesgos para los derechos de los titulares en atención al estado de la técnica, naturaleza y fines del tratamiento, para lo cual, implementará las medidas técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las obligaciones en materia de protección de datos, en los términos del reglamento. La protección de datos por defecto hace referencia a que el responsable debe aplicar las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento, en los términos del reglamento.

Artículo 40.- Análisis de riesgo, amenazas y vulnerabilidades

Para el análisis de riesgos, amenazas y vulnerabilidades, el responsable y el encargado del tratamiento de los datos personales deberán utilizar una metodología que considere, entre otras:

1) Las particularidades del tratamiento;

2) Las particularidades de las partes involucradas; y,

3) Las categorías y el volumen de datos personales objeto de tratamiento.

Artículo 41.- Determinación de medidas de seguridad aplicables

Para determinar las medidas de seguridad, aceptadas por el estado de la técnica, a las que están obligadas el responsable y el encargado del tratamiento de los datos personales, se deberán tomar en consideración, entre otros:

1) Los resultados del análisis de riesgos, amenazas y vulnerabilidades;

2) La naturaleza de los datos personales;

3) Las características de las partes involucradas; y,

4) Los antecedentes de destrucción de datos personales, la pérdida, alteración, divulgación o impedimento de acceso a los mismos por parte del titular, sean accidentales e intencionales, por acción u omisión, así como los antecedentes de transferencia, comunicación o de acceso no autorizado o exceso de autorización de tales datos.

El responsable y el encargado del tratamiento de datos personales deberán tomar las medidas adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir, mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la Autoridad de Protección de Datos Personales.

Artículo 42.- Evaluación de impacto del tratamiento de datos personales

El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera. La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales;

b) tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales, o

c) observación sistemática a gran escala de una zona de acceso público.

La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.

Artículo 43.- Notificación de vulneración de seguridad

El responsable del tratamiento deberá notificar la vulneración de la seguridad de datos personales a la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, tan pronto sea posible, y a más tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la Autoridad de Protección de Datos no tiene lugar en el término de cinco (5) días, deberá ir acompañada de indicación de los motivos de la dilación. El encargado del tratamiento deberá notificar al responsable cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de ella.

Artículo 44.- Acceso a datos personales para atención a emergencias e incidentes informáticos

Las autoridades públicas competentes, los equipos de respuesta de emergencias informáticas, los equipos de respuesta a incidentes de seguridad informática, los centros de operaciones de seguridad, los prestadores y proveedores de servicios de telecomunicaciones y los proveedores de tecnología y servicios de seguridad, nacionales e internacionales, podrán acceder y efectuar tratamientos sobre los datos personales contenidos en las notificaciones de vulneración a las seguridades, durante el tiempo necesario, exclusivamente para la detección, análisis, protección y respuesta ante cualquier tipo de incidentes así como para adoptar e implementar medidas de seguridad adecuadas y proporcionadas a los riesgos identificados.

Artículo 45.- Garantía del secreto de las comunicaciones y seguridad de datos personales. –

Para la correcta prestación de los servicios de telecomunicaciones y la apropiada operación de redes de telecomunicaciones, los prestadores de servicios de telecomunicaciones deben garantizar el secreto de las comunicaciones y seguridad de datos personales. Únicamente por orden judicial, los prestadores de servicios de telecomunicaciones podrán utilizar equipos, infraestructuras e instalaciones que permitan grabar los contenidos de las comunicaciones específicas dispuestas por los jueces competentes. Si se evidencia un tratamiento de grabación o interceptación de

las comunicaciones no autorizadas por orden judicial, se aplicará lo dispuesto en la presente Ley.

Artículo 46.- Notificación de vulneración de seguridad al titular

El responsable del tratamiento deberá notificar sin dilación la vulneración de seguridad de datos personales al titular cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales, dentro del término de tres días contados a partir de la fecha en la que tuvo conocimiento del riesgo. No se deberá notificar la vulneración de seguridad de datos personales al titular en los siguientes casos:

1. Cuando el responsable del tratamiento haya adoptado medidas de protección técnicas organizativas o de cualquier otra índole apropiadas aplicadas a los datos personales afectados por la vulneración de seguridad que se pueda demostrar que son efectivas;

2. Cuando el responsable del tratamiento haya tomado medidas que garanticen que el riesgo para los derechos fundamentales y las libertades individuales del titular, no ocurrirá; y,

3. Cuando se requiera un esfuerzo desproporcionado para hacerlo; en cuyo caso, el responsable del tratamiento deberá realizar una comunicación pública a través de cualquier medio en la que se informe de la vulneración de seguridad de datos personales a los titulares. La procedencia de las excepciones de los numerales 1 y 2 deberá ser calificada por la Autoridad de Protección de Datos, una vez informada esta tan pronto sea posible, y en cualquier caso dentro de los plazos contemplados en el Artículo 43. La notificación al titular del dato objeto de la vulneración de seguridad contendrá lo señalado en el artículo 43 de esta ley.

En caso de que el responsable del tratamiento de los datos personales no cumpliese oportunamente y de modo justificado con la notificación será sancionado conforme al régimen sancionatorio previsto en esta ley. La notificación oportuna de la violación por parte del responsable de tratamiento al titular y la ejecución oportuna de medidas de respuesta, serán consideradas atenuante de la infra

CAPÍTULO VII. DEL RESPONSABLE, ENCARGO Y DELEGADO DE PROTECCIÓN DE DATOS PERSONALES

Artículo 47.- Obligaciones del responsable y encargado del tratamiento de datos personales

El responsable del tratamiento de datos personales está obligado a:

1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas implementadas;

4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;

5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;

6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;

7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;

8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;

9) Implementar la protección de datos personales desde el diseño y por defecto;

10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;

12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;

14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,

15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.

El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente ley y su reglamento.

Artículo 48.- Delegado de protección de datos personales

Se designará un delegado de protección de datos personales en los siguientes casos:

1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;

2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;

3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta ley; y,

4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.

La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.

Artículo 49.- Funciones del delegado de protección de datos personales

El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:

1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

2) Supervisar el cumplimiento de las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;

4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,

5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.

En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.

Artículo 50.- Consideraciones especiales para el delegado de protección de datos personales

Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:

1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;

2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;

3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;

4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones;

5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado;

6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,

7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones.

Siempre que no exista conflicto con las responsabilidades establecidas en la presente ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.

Artículo 51.- Registro Nacional de protección de datos personales

El responsable del tratamiento de datos personales deberá reportar y mantener actualizada la información ante la Autoridad de Protección de Datos Personales, sobre lo siguiente:

1) Identificación de la base de datos o del tratamiento;

2) El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;

3) Características y finalidad del tratamiento de datos personales;

4) Naturaleza de los datos personales tratados;

5) Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la presente ley y normativa especializada;

8) Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;

9) Tiempo de conservación de los datos;

CAPÍTULO VIII. DE LA RESPONSABILIDAD PROACTIVA

Artículo 52.- Autorregulación

Los responsables y encargados de tratamiento de datos personales podrán, de manera voluntaria, acogerse o adherirse a códigos de conducta, certificaciones, sellos y marcas de protección, cláusulas tipo, sin que esto constituya eximente de la responsabilidad de cumplir con las disposiciones de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia.

Artículo 53.- Códigos de conducta

La Autoridad de Regulación y Control promoverá la elaboración de códigos de conducta por sectores, industrias, empresas, organizaciones, que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos. Los códigos de conducta deberán tomar en cuenta las necesidades específicas de los sectores en los que se efectúe tratamiento de datos personales, así como cumplir con los requisitos que se determinen en la normativa secundaria y con las disposiciones previstas en la presente Ley, para su aprobación por la Autoridad de Regulación y Control.

Los responsables o encargados de tratamiento de datos personales interesados podrán adherirse e implementar los códigos de conducta aprobados, para lo cual seguirán el procedimiento establecido en el Reglamento a la presente Ley.

Artículo 54.- Entidades de Certificación

En materia de protección de datos personales las Entidades de Certificación, de manera no exclusiva y en concordancia con el artículo 52, podrán:

1) Emitir certificaciones de cumplimiento de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia;

2) Emitir sellos de protección de datos personales;

3) Llevar a cabo auditorías de protección de datos personales, y,

4) Certificar los procesos de transferencias internacionales de datos personales. Los resultados de las auditorías podrán ser considerados como elementos probatorios dentro de los procesos sancionatorios.

CAPÍTULO IX TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES

Artículo 55.- Transferencia o comunicación internacional de datos personales

La transferencia o comunicación internacional de datos personales será posible si se sujeta a lo previsto en el presente capítulo, la presente Ley o la normativa especializada en la materia, propendiendo siempre al efectivo ejercicio del derecho a la protección de datos personales.

Artículo 56.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

Por principio general se podrán transferir o comunicar datos personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento a la ley. Cuando resulte necesario por la naturaleza de la transferencia, la Autoridad de Protección de Datos Personales podrá implementar métodos de control ex post que serán definidos en el Reglamento a la Ley. También establecerá acciones conjuntas entre las autoridades de ambos países con el objeto de prevenir, corregir o mitigar el tratamiento indebido de datos en ambos países. Para declarar de nivel adecuado de protección a países u organizaciones, la Autoridad de Protección de Datos Personales emitirá resolución motivada, en la que se establezca que la transferencia o comunicación internacional de datos personales cumple niveles adecuados de protección o de garantías adecuadas de protección, conforme a lo establecido en esta ley y su reglamento.

Artículo 57.- Transferencia o comunicación mediante garantías adecuadas

En caso de realizar una transferencia internacional de datos a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, se podrá realizar la referida transferencia internacional siempre que el responsable o encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular, para lo cual se deberá observar lo siguiente: a. Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos personales en un estándar igual o mayor a la normativa ecuatoriana vigente.

b. Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad permanente de acciones administrativas o judiciales; y, c. El derecho a solicitar la reparación integral, de ser el caso. Para que ello ocurra, la transferencia internacional de datos personales se sustentará en un instrumento jurídico que contemple los estándares antes determinados, así como aquellos que establezca la Autoridad de Protección de Datos Personales, el mismo que deberá ser vinculante.

Artículo 58. Normas corporativas vinculantes

Los responsables o encargados del tratamiento de datos personales podrán presentar a la Autoridad de Protección de Datos Personales, normas corporativas vinculantes, específicas y aplicadas al ámbito de su actividad, las cuales deberán cumplir las siguientes condiciones:

1. Será de obligatorio cumplimiento para el responsable del tratamiento y para la empresa a la que eventualmente transfieran datos personales.

2. Brindar a los titulares los mecanismos adecuados para el ejercicio de sus derechos relacionados al tratamiento de sus datos personales observando las disposiciones de la presente ley;

3. Incluir una enunciación detallada de las empresas filiales que, además del responsable del tratamiento, pertenecen al mismo grupo empresarial. Además, se incluirá la estructura y los datos del contacto del grupo empresarial o joint venture, dedicadas a una actividad económica conjunta y de cada uno de sus miembros.

4. Incluir el detalle de las empresas encargadas del tratamiento de datos personales, las categorías de datos personales a ser utilizados. así como el tipo de tratamiento a realizarse y su finalidad;

5. Observar en su contenido todas las disposiciones de la presente ley referentes a principios de tratamiento de datos personales, medidas de seguridad de datos, requisitos respecto a transferencia o comunicación internacional y transferencia o comunicación ulterior a organismos no sujetos a normas corporativas vinculantes;

6. Contener la aceptación por parte del responsable o del encargado del tratamiento de los datos personales, o de cualquier miembro de su grupo empresarial sobre su responsabilidad por cualquier violación de las normas corporativas vinculantes. El responsable o encargado del tratamiento de datos personales no será responsable si demuestra que el acto que originó la violación no le es imputable;

7. Incluir los mecanismos en que se facilita al titular la información clara y completa, respecto a las normas corporativas vinculantes;

8. Incluir las funciones de todo delegado de protección de datos designado de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o del joint venture dedicadas a una actividad económica conjunta bajo un mismo control así como los mecanismos y procesos de supervisión y tramitación de reclamaciones;

9. Enunciar de forma detallada los mecanismos establecidos en el grupo empresarial o empresas afiliadas que permitan al titular verificar efectivamente el cumplimiento de las normas corporativas vinculantes. Entre estos mecanismos se incluirán auditorías de protección de datos, y aquellos métodos técnicos que brinden acciones correctivas para proteger los derechos del titular. Los resultados de las auditorías serán comunicadas al delegado de protección de datos designado de conformidad con la presente ley, o cualquier otra entidad o persona encargada del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o empresas afiliadas dedicadas a una actividad económica conjunta y al Directorio de la empresa que controla un grupo empresarial, y a disposición de la Autoridad de protección de datos personales;

10. Incluir los mecanismos para cooperar de forma coordinada con la autoridad de protección de datos personales y el responsable del tratamiento de los datos personales; y,

11. Incluir la declaración y compromiso del responsable del tratamiento de los datos personales de promover la protección de datos personales entre sus empleados con formación continua. La Autoridad de Protección de Datos Personales definirá el formato y los procedimientos para la transferencia o comunicación de datos realizada por parte de los responsables, los encargados y las autoridades de control en lo relativo a la aplicación de las normas corporativas vinculantes a las que se refiere este artículo. Cualquier cambio a ser realizado a estas normas deberá ser notificado a la autoridad de protección de datos personales y al titular conforme a los mecanismos señalados por el responsable de tratamiento en su solicitud.

Artículo 59.- Autorización para transferencia internacional

Para todos aquellos casos no contemplados en los artículos precedentes, en los que se pretenda realizar una transferencia internacional de datos personales, se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de datos de carácter personal, según lo determinado en el Reglamento de aplicación a la presente Ley. Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales deberá ser registradas previamente en el Registro Nacional de Protección de Datos Personales por parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento establecido en el Reglamento de aplicación a la presente Ley.

Artículo 60. Casos excepcionales de transferencias o comunicaciones internacionales

Sin perjuicio de lo establecido en los artículos precedentes se podrá realizar transferencias o comunicaciones internacionales de datos personales, en los siguientes casos:

1. Cuando los datos personales sean requeridos para el cumplimiento de competencias institucionales, de conformidad con la normativa aplicable;

2. Cuando el titular haya otorgado su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas.

3. Cuando la transferencia internacional tenga como finalidad el cumplimiento de una obligación legal o regulatoria;

4. Cuando la transferencia internacional de datos personales sea necesaria para la ejecución de un contrato entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular;

5. Cuando la transferencia sea necesaria por razones de interés público.

6. Cuando la transferencia internacional sea necesaria para la colaboración judicial internacional.

7. Cuando la transferencia internacional sea necesaria para la cooperación dentro de la investigación de infracciones.

8. Cuando la transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados;

9. Cuando se realicen transferencias de datos en operaciones bancarias y bursátiles.

10. Cuando la transferencia internacional de datos personales sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,

11. Cuando la transferencia internacional de datos personales sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 61.- Control continuo

La Autoridad de Protección de Datos Personales en acciones conjuntas con la academia, realizará reportes continuos sobre la realidad internacional en materia de protección de datos personales. Dichos estudios servirán como elemento de control continuo del nivel adecuado de protección de datos personales de los países u organizaciones que ostenten tal reconocimiento. En caso de detectarse que un país u organización ya no cumple con un nivel adecuado de protección conforme los principios, derechos y obligaciones desarrollados en la presente Ley, la Autoridad de Protección de Datos Personales procederá a emitir la correspondiente resolución de no adecuación, a partir de la cual no procederán transferencias de datos personales, salvo que operen otros mecanismos de transferencia conforme lo dispuesto en el presente capítulo. La Autoridad de Protección de Datos Personales publicará en cualquier medio, de forma permanente y debidamente la lista de países, organizaciones, empresas o grupos económicos que garanticen niveles adecuados de protección de datos personales.

CAPÍTULO X. DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO

Artículo 62.- Requerimiento directo del titular del dato de carácter personal al responsable del tratamiento

El titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales puestos a su disposición por parte del responsable del tratamiento de los datos personales, presentar requerimientos, peticiones, quejas o reclamaciones directamente al responsable del tratamiento, relacionadas con el ejercicio de sus derechos, la aplicación de principios y el cumplimiento de obligaciones por parte del responsable del tratamiento, que tengan relación con él.

Presentado el requerimiento ante el responsable este contará con un término de diez (10) días para contestar afirmativa o negativamente, notificar y ejecutar lo que corresponda.

Artículo 63.- Actuaciones previas

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 64.- Procedimiento administrativo

En el caso de que el responsable del tratamiento no conteste el requerimiento, en el término establecido en la presente ley, o éste fuere negado, el titular podrá presentar el correspondiente reclamo administrativo ante la Autoridad de Protección de Datos Personales, para lo cual se deberá estar conforme al procedimiento establecido en el Código Orgánico Administrativo, la presente ley y demás normativa emitida por la Autoridad de Protección de Datos Personales. Sin perjuicio, el titular podrá presentar acciones civiles, penales o constitucionales de las que se crea asistido.

CAPÍTULO XI. MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO

Artículo 65.- Medidas correctivas

En caso de incumplimiento de las disposiciones previstas en la presente Ley, su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia, o transgresión a los derechos y principios que componen al derecho a la protección de datos personales, la Autoridad de Protección de Datos Personales dictará medidas correctivas con el objeto de evitar que se siga cometiendo la infracción y que la conducta se produzca nuevamente, sin perjuicio de la aplicación de las correspondientes sanciones administrativas. Las medidas correctivas podrán consistir, entre otras, en:

1) El cese del tratamiento, bajo determinadas condiciones o plazos;

2) La eliminación de los datos; y

3) La imposición de medidas técnicas, jurídicas, organizativas o administrativas a garantizar un tratamiento adecuado de datos personales.

La Autoridad de Protección de Datos Personales, en el marco de esta Ley, dictará, para cada caso, las medidas correctivas, previo informe de la unidad técnica competente, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia.

Artículo 66.- Aplicación de medidas correctivas

La Autoridad de Protección de Datos Personales, en el marco de esta ley, previo informe de la unidad técnica competente, aplicará para cada caso las medidas correctivas citadas en el artículo anterior, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. Para la aplicación de las medidas correctivas se seguirán las siguientes reglas:

1. En el caso de que los responsables, encargados de tratamiento de datos personales y organismos de certificación y de ser el caso, a terceros, se encuentran incursos en el presunto cometimiento de una infracción leve y estos consten dentro del Registro Único de responsables y encargados incumplidos; la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio, haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

2. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción grave; la Autoridad de Protección de Datos Personales; aplicará en primera instancia medidas correctivas. Si las medidas correctivas fueren cumplidas de forma tardía, parcial o defectuosa, la Autoridad de Protección de Datos Personales, aplicará las sanciones que corresponden a las infracciones graves, activando para el efecto el procedimiento administrativo sancionatorio y haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

3. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción muy grave, la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida.

Sección 1ª. De las infracciones del Responsable de protección de datos

Artículo 67.- Infracciones leves del Responsable de protección de datos

Se consideran infracciones leves las siguientes:

1. No tramitar, tramitar fuera del término previsto o negar injustificadamente las peticiones o quejas realizadas por el titular;

2. No implementar protección de datos desde el diseño y por defecto;

3. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

4. Elegir un encargado del tratamiento de datos personales que no ofrezca garantías suficientes para hacer efectivo el ejercicio del derecho a la protección de datos personales;

5. Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes:

1) No implementar medidas administrativas, técnicas y físicas, organizativas y jurídicas, a fin de garantizar el tratamiento de datos personales que realice conforme la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) Utilizar información o datos para fines distintos a los declarados;

3) Ceder o comunicar datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley y su reglamento, directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

4) No utilizar metodologías de análisis y gestión de riesgos adaptadas a la naturaleza de los datos personales ,las particularidades del tratamiento y de las partes involucradas;

5) No realizar evaluaciones de impacto al tratamiento de datos en los casos en que era necesario realizarlas;

6) No implementar medidas técnicas organizativas o de cualquier índole necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones a la seguridad de datos personales que hayan sido identificadas;

7) No notificar a la Autoridad de Protección de Datos Personales y al titular, de vulneraciones a la seguridad y protección de datos personales, cuando afecte los derechos fundamentales y libertades individuales de los titulares;

8) No notificar a la Autoridad de Protección de Datos Personales del titular las vulneraciones de seguridad y protección de datos personales, cuando exista afectación a los derechos fundamentales y libertades individuales de los titulares;

9) No suscribir contratos que incluyan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

10) No mantener actualizado el Registro Nacional de protección de datos personales de conformidad a lo dispuesto en la presente ley su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

11) No consignar en el Registro Nacional de Protección de Datos Personales lo dispuesto en la presente ley y su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

12) No designar al delegado de protección de datos personales cuando corresponda;

13) No permitir y no contribuir a la realización de auditorías o inspecciones por parte del auditor acreditado por la Autoridad de Protección de Datos Personales; y,

14) Incumplir las medidas correctivas o cumplir de forma tardía, parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve, o incurrir de forma reiterada en faltas leves.

Sección 2ª. De las infracciones del Encargado de protección de datos

Artículo 69.- Infracciones leves del Encargado de protección de datos

Se consideran infracciones leves las siguientes:

1) No colaborar con el responsable del tratamiento datos personales, para que este cumpla con su obligación de atender solicitudes que tengan por objeto el ejercicio de los derechos del titular frente al tratamiento de sus datos personales;

2) No facilitar el acceso al responsable del tratamiento de datos personales a toda la información referente al cumplimiento de las obligaciones establecidas en la presente Ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia;

3) No permitir o no contribuir a la realización de auditorías o inspecciones, por parte del responsable del tratamiento de datos personales o de otro auditor autorizado por la Autoridad de Protección de Datos Personales; y,

4) Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 70.- Infracciones graves del Encargado de protección de datos

Se consideran infracciones graves las siguientes:

1) Realizar tratamientos de datos personales sin observar los principios y derechos desarrollados en la presente Ley y su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) No tratar datos personales de conformidad con lo previsto en el contrato que mantenga con el responsable del tratamiento de datos personales inclusive en lo que respecta a la transferencia o comunicación internacional;

3) No suscribir contratos que contengan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el personal a cargo del tratamiento de datos personales o quien tenga conocimiento de los datos personales;

4) No implementar mecanismos destinados a mantener la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales;

5) No implementar medidas preventivas y correctivas en la seguridad de los datos personales a fin de evitar vulneraciones;

6) No suprimir los datos personales transferidos o comunicados al responsable del tratamiento de los datos personales, una vez haya culminado su encargo;

7) Proceder a la comunicación de datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley, su reglamento directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

8) Incumplir las medidas correctivas o cumplirlas de forma tardía parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve; y,

9) No notificar al responsable del tratamiento de datos personales sobre cualquier vulneración de la seguridad de datos personales conforme dispone esta ley o hacerlo con retraso injustificado.

Artículo 71.- Sanciones por infracciones leves

La Autoridad de Protección de Datos Personales impondrá las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción leve, según las siguientes reglas:

1. Servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones leves establecidas en la presente ley, serán sancionados con una multa de uno (1) a diez (10) salarios básicos unificados del trabajador en general, sin perjuicio de la responsabilidad extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

2. Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir cuando el responsable, el encargado del tratamiento de datos personales o de ser el caso un tercero, hubiese sido previamente sancionado por dos o más infracciones precedentes, que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

Artículo 72.- Sanciones por infracciones graves

La Autoridad de Protección de Datos Personales impondrán las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción grave, conforme a los presupuestos establecidos en el presente Capítulo: Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves establecidas en la presente ley serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general; sin perjuicio de la Responsabilidad Extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

1) Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0.7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir, cuando el responsable, encargado del tratamiento de datos personales o de ser el caso, de un tercero hubiese sido previamente sancionado por dos o más infracciones precedentes que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

En el caso de que el responsable, encargado del tratamiento de datos personales a un tercero de ser el caso; sea una organización sin domicilio ni representación jurídica en el territorio ecuatoriano, se deberá notificar de la resolución con la cual se establezca la infracción cometida la Autoridad de Protección de Datos Personales, o quien hiciera sus veces, del lugar en donde dicha organización tiene su domicilio principal, a fin de que sea dicho organismo quien sustancia las acciones o procedimientos destinados al cumplimiento de las medidas correctivas y sanciones a las que hubiere lugar.

Artículo 73.- Volumen de negocio

A efectos del régimen sancionatorio de la presente ley, se entiende por volumen de negocio, a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.

Artículo 74.- Medidas provisionales o cautelares

La Autoridad de Protección de Datos Personales podrá aplicar medidas provisionales de protección o medidas cautelares contempladas en la norma procedimental administrativa.

CAPÍTULO XII. AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES

Artículo 75.- Autoridad de protección de datos personales

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 76.- Funciones atribuciones y facultades

La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades:

1) Ejercer la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales;

2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley;

3) Conocer, sustanciar y resolver los reclamos interpuestos por el titular o aquellos iniciados de oficio, así como aplicar las sanciones correspondientes;

4) Realizar o delegar auditorías técnicas al tratamiento de datos personales;

5) Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales;

6) Crear, dirigir y administrar el Registro Nacional de Protección de Datos Personales, así como coordinar las acciones necesarias con entidades del sector público y privado para su efectivo funcionamiento;

7) Promover una coordinación adecuada y eficaz con los encargados de la rendición de cuentas y participar en iniciativas internacionales y regionales para la protección de la protección de los datos personales;

8) Dictar las cláusulas estándar de protección de datos, así como verificar el contenido de las cláusulas o garantías adicionales o específicas;

9) Atender consultas en materia de protección de datos personales;

10) Ejercer el control y emitir las resoluciones de autorización para la transferencia internacional de datos;

11) Ejercer la representación internacional en materia de protección de datos personales;

12) Emitir directrices para el diseño y contenido de la política de tratamiento de datos personales;

13) Establecer directrices para el análisis evaluación y selección de medidas de seguridad de los datos personales;

14) Llevar un registro estadístico sobre vulneraciones a la seguridad de datos personales e identificar posibles medidas de seguridad para cada una de ellas;

15) Publicar periódicamente una guía de la normativa relativa a la protección de datos personales;

16) Promover e incentivar el ejercicio del derecho a la protección de datos personales, así como la concientización en las personas y la comprensión de los riesgos, normas, garantías y derechos, en relación con el tratamiento y uso de sus datos personales, con especial énfasis en actividades dirigidas a grupos de atención prioritaria tales como niñas niños y adolescentes;

17) Controlar y supervisar el ejercicio del derecho a la protección de datos personales dentro del tratamiento de datos llevado a cabo a través del Sistema Nacional de Registros Públicos; y,

18) Las demás atribuciones establecidas en la normativa vigente.

Artículo 77.- Del titular de la Autoridad de Protección de Datos

El Superintendente de Protección de Datos será designado de acuerdo a lo establecido en la Constitución de la República, de la terna que remita la Presidente o Presidente de la República, siguiendo criterios de especialidad y méritos; se sujetará a escrutinio público y derecho de impugnación ciudadana.

El Superintendente de Protección de Datos deberá ser un profesional del Derecho, de Sistemas de Información, de Comunicación o de Tecnologías, con título de cuarto nivel y experiencia de al menos 10 años con áreas afines a la materia objeto de regulación de esta ley.

Ejercerá sus funciones por un período de 5 años y únicamente cesará en sus funciones por las causales establecidas en la ley que regula el servicio público que le sean aplicables o por destitución, luego de enjuiciamiento político realizado por la Asamblea Nacional.

DISPOSICIONES GENERALES

PRIMERA

En lo dispuesto al procedimiento administrativo se estará a lo previsto en el Código Orgánico Administrativo.

SEGUNDA

En el ámbito del derecho de acceso a la información pública son aplicables las disposiciones de las leyes de la materia.

TERCERA

En el ámbito de los datos personales registrables, son aplicables las disposiciones de las leyes de la materia.

CUARTA

La Autoridad de Protección de Datos Personales será responsable de coordinar las acciones necesarias con entidades del sector público y privado para el efectivo funcionamiento del Registro Nacional de Protección de Datos Personales.

QUINTA

La Autoridad de Protección de Datos Personales será responsable de presentar informes anuales de evaluación y revisión de la presente Ley, a la ciudadanía.

SEXTA

Créase el Registro Único de Responsables y Encargados Incumplidos, en el cual se llevará un registro de los Responsables y Encargados del Tratamiento de Datos Personales, que hayan incurrido en una de las infracciones establecidas en la presente Ley; mismo que tendrá fines sociales, estadísticos, preventivos y de capacitación, cuyo funcionamiento estará establecido en el Reglamento de la Ley de Protección de Datos Personales.

SÉPTIMA

El ejercicio de los derechos reconocidos en la presente norma podrá ser exigido por el titular independientemente de la entrada en vigor del régimen sancionatorio.

OCTAVA

Ninguna entidad pública o privada, podrá cobrar valores por servicios de entrega de información sustentada en datos del solicitante de los mismos.

NOVENA

Se procurará que en lo referente a los pueblos y nacionalidades indígenas, el tratamiento de sus datos personales sea en sus idiomas y lenguas ancestrales.

DISPOSICIONES TRANSITORIAS

PRIMERA

Las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta ley en el Registro Oficial, en el transcurso de este tiempo los responsables y encargados del tratamiento de datos personales se adecuarán a los preceptos establecidos dentro de esas disposiciones, su reglamento de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales. El resto de disposiciones establecidas en esta ley entrarán en vigencia conforme se establece en la Disposición Final de esta Ley.

SEGUNDA

Todo tratamiento realizado previo a la entrada en vigencia de la presente Ley deberá adecuarse a lo previsto en la presente norma dentro del plazo de dos años contados a partir de su publicación en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

TERCERA

Los responsables y encargados del tratamiento de datos personales que hayan implementado los preceptos recogidos dentro de esta Ley antes de plazo señalado en la Disposición Transitoria Primera obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de Protección de Datos Personales.

CUARTA

La transferencia internacional de datos personales que hubiere sido realizada antes de la entrada en vigencia de la presente Ley será legítima, sin perjuicio de que el responsable del tratamiento de datos personales deba aplicar lo dispuesto en esta norma para acreditar su responsabilidad proactiva y demostrada.

El responsable de tratamiento deberá adecuar la transferencia internacional de datos personales a la presente norma en un plazo no mayor de dos años contados a partir de la publicación de la presente norma en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

DISPOSICIONES REFORMATORIAS

PRIMERA

De la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Suplemento del Registro Oficial 557 del 17 de abril de 2002:

1. Suprímese las definiciones de intimidad, datos personales, datos personales autorizados del glosario de términos establecido en la Disposición General Novena.

SEGUNDA

En la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 del 31 de marzo del 2010:

1.- Sustitúyese:

a) El término Dirección Nacional de Registro de Datos Públicos por Dirección Nacional de Registros Públicos;

b) El término Sistema Nacional de Registro de Datos Públicos por Sistema Nacional de Registros Públicos;

c) El término Registro de Datos Públicos por Registros Públicos;

d) El término datos de carácter personal por datos personales;

e) El término datos públicos registrales por la expresión datos públicos y datos personales registrables;

f) El artículo 6, por el siguiente: “Art. 6.- Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal. El acceso a estos datos, solo será posible cuando quien los requiera se encuentre debidamente legitimado, conforme a los parámetros previstos en la Ley Orgánica de Protección de Datos Personales, su respectivo reglamento y demás normativa emitida por la Autoridad de Protección de Datos Personales.

Al amparo de esta Ley, para acceder a la información sobre el patrimonio de las personas cualquier solicitante deberá justificar y motivar su requerimiento, declarar el uso que hará del mismo y consignar sus datos básicos de identidad, tales como nombres y apellidos completos, número del documento de identidad o ciudadanía, dirección domiciliaria y los demás datos que mediante el respectivo reglamento se determinen. Un uso distinto al declarado dará lugar a la determinación de responsabilidades, sin perjuicio de las acciones legales que el titular de la información pueda ejercer.

La Directora o Director Nacional de Registros Públicos, definirá los demás datos que integran el sistema nacional y el tipo de reserva y accesibilidad.

2.- Incorpórase:

a) En el artículo 31 referente a las atribuciones y facultades de la Dirección Nacional de Registro Públicos antes del numeral 14 lo siguiente:

“14. Controlar y supervisar que las entidades pertenecientes al Sistema Nacional de Registros Públicos incorporen mecanismos de protección de datos personales, así como dar cumplimiento a las disposiciones establecidas en la Ley Orgánica de Protección de Datos Personales, su reglamento de aplicación y demás normativa que la Autoridad de Protección de Datos Personales dicte para el efecto:

15. Tratar datos procedentes del Sistema Nacional de Registros Públicos o de cualquier otra fuente, para realizar procesos de analítica de datos, con el objeto de prestar servicios al sector público, al sector privado y a personas en general, así como generar productos, reportes, informes o estudios, entre otros. Se utilizarán medidas adecuadas que garanticen el derecho a la protección de datos personales y su uso en todas las etapas del tratamiento, como por ejemplo, técnicas de disociación de datos, y,”

3.- Suprímese del numeral 13 del artículo 31 lo siguiente: “y”;

4.- Reenumerar el numeral 14 del artículo 31 por numeral “16”;

TERCERA

En el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación publicado en el suplemento del Registro Oficial 899 del 09 de diciembre de 2016, sustitúyase la palabra confidencialidad por Protección en el numeral 5 del artículo 67.

CUARTA

En la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015:

1.- Suprímese:

a) El inciso segundo, tercer y cuarto del artículo 79;

b) En el primer inciso del artículo 83 lo siguiente “(…) y seguridad de datos personales (.)”; y,

c) En el inciso primero del artículo 85 lo siguiente “(…) como de seguridad de datos personal (…)”

2.- Sustitúyese:

a) El artículo 78 por el siguiente:

“Art. 78.- Seguridad de los Datos Personales.- Las y los prestadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas, organizativas y de cualquier otra índole adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos personales de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.”

b) El artículo 81 por el siguiente:

“Art. 81.- Guías telefónicas o de abonados en general.- Los abonados, clientes o usuarios tienen el derecho a no figurar en guías telefónicas o de abonados. Deberán ser informados, de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales, de sus derechos con respecto a la utilización de sus datos personales en las guías telefónicas o de abonados y, en particular, sobre el fin o los fines de dichas guías, así como sobre el derecho que tienen, en forma gratuita, a no ser incluidos, en tales guías.”

c) El artículo 82 por el siguiente:

“Art. 82.- Uso comercial de datos personales.- Las y los prestadores de servicios no podrán usar datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos que el abonado o usuario al que se refieran los datos o tal información, haya dado su consentimiento conforme lo establecido en la Ley Orgánica de Protección de Datos Personales. Los usuarios o abonados dispondrán de la posibilidad clara y fácil de retirar su consentimiento para el uso de sus datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales o información cuyo uso se autorizan, el tiempo y su objetivo específico.

Sin contar con tal consentimiento y con las mismas características, las y los prestadores de servicios de telecomunicaciones no podrán comercializar, ceder o transferir a terceros los datos personales de sus usuarios, clientes o abonados. Igual requisito se aplicará para la información del uso del servicio, información de tráfico o del patrón de consumo de sus usuarios, clientes y abonados.”

d) El artículo 83 por el siguiente:

“Art. 83.- Control técnico.- Cuando para la realización de las tareas de control técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan vulnerar la seguridad e integridad de las redes. La Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo de afectar los contenidos de las comunicaciones.

Cuando, como consecuencia de los controles técnicos efectuados, quede constancia de los contenidos, se deberá coordinar con la Autoridad de Protección de Datos Personales para que:

a) Los soportes en los que éstos aparezcan no sean ni almacenados ni divulgados; y,

b) Los soportes sean inmediatamente destruidos y desechados

Si se evidencia un tratamiento ilegítimo o ilícito de datos personales, se aplicará lo dispuesto en la Ley Orgánica de Protección de Datos Personales.”

DISPOSICIONES DEROGATORIAS

PRIMERA

Derógase el artículo 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el suplemento del Registro Oficial 557 del 17 de abril de 2002.

SEGUNDA

Derógase los artículos 80 y 84 de la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015.

TERCERA

Derógase el artículo 5 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 de 3l de marzo de 2010.

CUARTA

Quedan así mismo derogadas todas aquellas disposiciones de igual o menor jerarquía que se contrapongan con la presente Ley Orgánica.

DISPOSICIÓN FINAL

La presente Ley entrará en vigencia una vez publicada en el Registro Oficial.

Dado en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha, a los … días del mes … de dos mil veinte.

Memorando Nro. AN-VJPF-2021-0046-M

Quito, D.M., 07 de abril de 2021

PARA: Sr. Fernando Patricio Flores Vasquez, Presidente de la Comisión Especializada Permanente de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral

ASUNTO: Voto – “informe para segundo debate del “Proyecto de Ley Orgánica de Protección de Datos Personales”

De mi consideración:

Con relación al desarrollo de la continuación de la Sesión nº 147-2019-2021, modalidad virtual, celebrada el 7 de abril del presente año, la cual se refiere a la aprobación del “informe para segundo debate del “Proyecto de Ley Orgánica de Protección de Datos Personales“, votado y aprobado con 7 votos a favor; y, con la finalidad de dar cumplimiento a la solicitud emitida por la Secretaria General de la Asamblea Nacional mediante la “Guía para Procesos Legislativos durante la Emergencia Sanitaria” de 03 de abril de 2020, y al Memorando Nro.AN-SG-2020-0682-M de 22 de mayo de 2020, procedo a señalar que mi voto el mencionado informe fue A FAVOR.

Atentamente,

Documento firmado electrónicamente

Sr. Pedro Fabricio Villamar Jácome, ASAMBLEÍSTA

Señor Fernando Flores, PRESIDENTE DE LA COMISIÓN DE RELACIONES INTERNACIONALES. Quito

De mi consideración:

Por medio del presente tiene a bien confirmar la votación a favor del Informe para segundodebate del “Proyecto de Ley Orgánica de Protección de Datos Personales”,votado y aprobado con 7 votos a favor en la continuación de la Sesión nº 147-2019-2021,modalidad virtual, celebrada a partir de las 10h00 del 06 de abril del presente año.

09May/21

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales, 12 febrero 2021

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales. Expediente nº 22.388. (Diario Oficial La Gaceta, año CXLLL, nº 30 (alcance 33 a la Gaceta 30), San José, Costa Rica, viernes 12 de febrero de 2021).

ASAMBLEA LEGISLATIVA. PROYECTO DE LEY COSTA RICA

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Expediente n° 22.388

La “Era de los Datos” plantea un gran reto para los Derechos Humanos así como para los Congresos del mundo entero. La llegada de diversas innovaciones tecnológicas en el análisis, recopilación y procesamiento de datos, así como varias coyunturas globales de reciente data, han puesto en relieve la necesidad de crear marcos normativos mucho más robustos en lo que se refiere al tratamiento de datos personales.

En 2016, Dominic Cummings, director de la campaña Leave EU -a favor de la salida de Reino Unido de la Unión Europea-, presentó al hoy Primer Ministro británico, Boris Johnson, una novedosa estrategia para ganar el referéndum conocido como Brexit. La estrategia consistía en usar los datos personales que los votantes entregan en sus redes sociales para crear perfiles psicosociales, y con ellos definir mensajes personalizados que permitieran inducir el voto.

Esa propuesta llegó al director de campaña de manos de la empresa AggregateIQ, aliada de la mundialmente conocida Cambridge Analytica (CA). Como se demostró en el Parlamento Británico posteriormente, CA participó en la campaña, y aportó los datos de los votantes y el software que generó los perfiles y la campaña personalizada. Por medio de los perfiles psicosociales, se dividió a los votantes en descartables, seguros, y potenciales. Para este último grupo, se trabajaron mensajes altamente personalizados basados en sus preocupaciones, en gran medida noticias falsas que alimentaban sus temores y desinformación.

Ese software también permitió identificar a aquellas personas desinteresadas en la política: quienes desde hace mucho tiempo no votaban o nunca habían votado en ningún proceso. Miles de estos votantes se encontraban en poblados alejados de los grandes centros de población, habiendo sido excluidos del proceso democrático, y también desplazados por los procesos de gentrificación (Harvey, 2013). Dicho grupo recibió por primera vez en mucho tiempo la visita de políticos que prometían empleo, seguridad social y vivienda… si el Reino Unido abandonaba la Unión Europea. Ese nivel de precisión -incluso fuera de las redes sociales- permiten las campañas de microtargeting basadas en datos personales.

Cambridge Analytica estuvo en el centro del escándalo desde marzo de 2018, cuando los diarios The Guardian, The New York Times y The Observer, revelaron que la consultora política accedió a los datos personales de 50 millones de usuarios de Facebook sin su autorización, y que fueron usados por la campaña del expresidente de los Estados Unidos, Donald Trump, con una estrategia digital prácticamente idéntica a la ejecutada en el Brexit (Graham y Cadwalladr, 2019). En este caso el énfasis también estuvo en la política migratoria y en divulgar noticias falsas sobre la candidata demócrata, Hillary Clinton.

La revelación la hizo uno de los creadores del sistema, Christopher Wylie, quien relató que los datos surgieron de un test de personalidad desarrollado por el profesor de la Universidad de Cambridge, Aleksandr Kogan, que, como muchas aplicaciones, requería a los usuarios iniciar sesión en Facebook y otorgar algunos permisos de acceso. 270 mil personas hicieron el test, sin saber que al hacerlo estaban autorizando a la aplicación recopilar toda su información y la de todos sus amigos de la red social, sumando alrededor de 87 millones de personas. Tampoco sabían que esa información iba a ser vendida a CA por 800 mil dólares.

El ex empleado de CA también reveló que Facebook supo lo que estaba pasando con los datos de sus usuarios muchos meses antes de que fuera divulgado por los medios de comunicación. Fue hasta después del escándalo, y de que las acciones de la red social tuvieran una millonaria caída, que su fundador y CEO, Mark Zuckerberg, reconoció públicamente los fallos en la seguridad (BBC Mundo, 2018).

Después de diversas investigaciones, Cambridge Analytica cerró, mientras Facebook siguió en el foco de atención por sus problemas de seguridad y el uso de los datos de sus usuarios. Tiempo después, la Comisión Federal de Comercio de Estados Unidos ordenó a la red social a pagar US$5.000 millones como sanción por las malas prácticas en el manejo de la seguridad de los datos de los usuarios. En Reino Unido, la red social fue condenada a pagar una multa de 500.000 libras (US $600.000) ante la Oficina del Comisionado de Información del Reino Unido por el mismo caso. La Resolución del Parlamento Europeo contra Facebook, del 25 de octubre de 2018, confirmó que se utilizaron datos personales de forma irregular por parte de Cambridge Analytica, dentro de los que se encontraban los datos de 2,7 millones de ciudadanos de la Unión.

Una visión de derechos humanos y centrada en las personas

Toda esta coyuntura profundizó las discusiones relacionadas al uso de los datos en el ámbito político-democrático, así como a los cambios que debían realizarse en las legislaciones del mundo. Como es evidente, las redes sociales están en el centro de tales debates.

Ciertamente, cada vez cobra más relevancia este tema entre una mayoría de la población; prueba de ello es la reciente migración masiva de la red de mensajería WhatsApp hacia otros servicios como Signal o Telegram (en el caso de Telegram, llegando a reportar 8 millones de personas usuarias nuevas por día a mediados de enero), debido a cambios en los términos y las condiciones de uso de WhatsApp, vinculados a cómo se usarían los datos y metadatos de sus usuarios (Sanz, 2021).

A pesar de esa creciente conciencia, coyunturas como las de Cambridge Analytica dejan claro que las empresas que lucran con los datos se aprovecharon de varios elementos claves: que las personas usuarias con su “permiso”, daban acceso a casi la totalidad de los datos colocados en sus perfiles así como a datos sobre su uso e interacción; que tales permisos acarreaban una falta de control sobre sus datos (una especie de “no retorno”) y que esencialmente las personas utilizan dichas redes para generar reacciones (likes) exponiendo su vida personal, y compartiendo información que provoque autosatisfacción, lo que permite conocer con gran precisión el perfil psicológico de esas personas de forma masiva.

“El acto de compartir noticias e información en redes sociales tiene que ver con la emoción que nos genera el contenido y que queremos socializar con el resto de las personas. Así, nos damos cuenta de que las redes sociales más que ser espacios de aislamiento social, son todo lo contrario: una proyección de nosotros mismos y un lugar donde queremos compartir no solo información, sino también emociones” (Valenzuela y Arriagada, 2016).

Este es precisamente el gran valor que hay en los datos personales en redes sociales: al haber tantísima información, tienen el potencial de identificar muy precisamente las necesidades, los miedos, los intereses de las personas y de incluso predecir los comportamientos, no solo en aspectos eminentemente comerciales o de consumo, sino en términos políticos. “La psicopolítica digital es capaz de llegar a procesos psíquicos de manera prospectiva. Es quizá mucho más rápida que la voluntad libre. Puede adelantarla. La capacidad de prospección de la psicopolítica digital significaría el fin de la libertad” (Hans y Bergés, 2014).

En este sentido, el abordaje de este gran reto debe hacerse desde el enfoque de los derechos humanos y debe comprender el valor que tiene para la robustez de las sociedades democráticas. Los marcos normativos deben tener como prioridad y centro a la persona, de forma que se garantice su autonomía y su autodeterminación alrededor de cómo se usa la información y la data que genera su vida, su interacción social, su interacción digital.

Estos marcos deben estar centrados en el usuario y enfocarse en amparar y fortalecer los derechos, al tiempo que proporcionen reglas claras y predecibles para que las cumplan las entidades públicas y privadas.” (AccessNow, 2018) Es decir, si bien los casos de mayor conocimiento público global -como los descritos arriba- han estado relacionados a empresas del sector privado, al enfocar la discusión sobre la actualización de la normativa desde las personas, les protege también ante los Estados y las instituciones públicas, evitando así usos abusivos de la información y brindando un marco de garantías más firme para la defensa de sus derechos.

“Asimismo, y como se ha podido observar a partir de los escándalos recientes que involucran a empresas del sector privado intensivas en el uso de datos, es necesario evitar que, sin contar con la experiencia necesaria, los gobiernos caigan en la tentación de desarrollar sistemas que utilicen los datos de los ciudadanos sin que incorporen paralelamente un enfoque ético y responsable desde su diseño que asegure cuestiones básicas como la privacidad o el consentimiento. Lo que aquí está en juego no es otra cosa que sentar las bases para un nuevo contrato social que permita una utilización masiva y responsable de los datos por parte de las entidades gubernamentales para proporcionar mejores servicios sociales, al tiempo que se mantiene la confianza de los ciudadanos en que los gobiernos gestionen sus datos de manera responsable.” (BID, 2019)

Datos sin protección: el reto de actualizar la normativa

Si bien ya en la década de los noventa muchos países del mundo contaban con leyes para la protección de los datos personales de sus ciudadanos, esas normativas no contemplaron un contexto como el descrito anteriormente: la era del Big Data y el desarrollo de tecnologías que tienden a que las personas pierdan el control y algunas veces hasta prácticamente la propiedad, sobre sus datos.

Costa Rica, en definitiva, no escapa a este panorama. El país cuenta con una Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales aprobada en 2011 -cuya discusión legislativa se remonta a inicios de los 2000-, que establece regulaciones para el manejo y procesamiento de datos sensibles en las bases de instituciones públicas y empresas, y que fue considerada de avanzada al momento de su creación. Sin embargo, carece de varios conceptos actuales, lo que le da un alcance relativamente limitado para tutelar correctamente los derechos de la ciudadanía en la era de la información y las nuevas tecnologías de recolección y procesamiento de datos.

El informe “Cyber Troops Country Profile: Costa Rica”, de Simone Bunse (2021), ha dejado ver que si bien en la actualidad las tácticas digitales para esparcir desinformación y propaganda electoral carecen de alta sofisticación, el uso de redes sociales con estos fines se acrecienta, ya se ha probado la contratación y el uso de servicios en el extranjero con estos fines, y es probable que su uso pueda acrecentarse y normalizarse en un futuro no muy lejano.

Por otro lado, también existen falencias y debilidades a nivel institucional -varias de ellas originadas en la ley- que no han permitido a la Autoridad Nacional de Protección de datos, la Prodhab, para hacer cumplir la ley actual y por tanto también deben subsanarse.

El Reglamento General de Protección de Datos de la Unión Europea: un referente global

El derecho a la protección de los datos personales está relacionado con el derecho a la privacidad, pero sus alcances son distintos. Más de 160 países consagran el derecho a la privacidad en sus constituciones, pero el entendimiento de lo que implica varía de un país a otro. Los estados miembros de la Unión Europea representan una excepción en este sentido, ya que reconocieron la protección de datos como un derecho fundamental en la Carta de 2001 de la UE.

La normativa que ha desarrollado la Unión Europea en materia de protección de datos ha servido de referente en para el resto del mundo, aunque ciertamente desde su aprobación también se han encontrado diversas oportunidades de mejora. En 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) y fue de aplicación en 2018. Una de sus virtudes fue el desarrollo de principios claros bajo los cuales debe realizarse cualquier tratamiento de datos personales, comprendiendo así que más allá de la tecnología utilizada o los términos en que se acordó el tratamiento de los datos en particular, los fundamentos desde los que se realiza dicho tratamiento deberían ser siempre la mismos.

Principio                                                             Resumen

Limitación del fin                            El tratamiento debe estar limitado a los fines legítimos para los cuales los datos personales fueron recogidos originalmente.

Minimización de datos                   Al momento de recoger datos, sólo se pueden solicitar los datos personales absolutamente necesarios para el fin legítimo acordado con la persona titular.

Exactitud                                         Los datos personales de los interesados deben ser siempre precisos y estar actualizados.

Integridad y confidencialidad       Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal.

Limitación del almacenamiento   Los datos solo deben ser conservados mientras sea necesario. Es decir, deben de ser eliminados una vez se haya cumplido el fin legítimo para se recogieron.

Lealtad y transparencia               Las empresas no deben realizar tratamientos que no sean legítimos, es decir, deben ser leales hacia las personas titulares con respecto a la ley. Además, las empresas deben ser transparentes con respecto al tratamiento, e informar a la persona interesada de manera abierta y transparente.

Cuadro 1. Principios para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea y Bhatia, P. (2018).

Asimismo, otro de los desarrollos conceptualmente interesantes del RGPD fueron las categorías de derechos, los cuales se plantearon bajo el mismo paradigma de procurar que, más allá de una tecnología o tipo de uso concreto, las personas usuarias puedan ejercer esos derechos en toda circunstancia, de manera que, además de ser derechos vinculantes para todo tratamiento de datos personales, deben ser de acceso gratuito y de aplicación permanente.

Derecho                                                              Resumen

Derecho de acceso                       Habilita a los usuarios a obtener confirmación de los servicios y compañías con respecto a la posible recopilación y procesamiento de sus datos personales. Los usuarios deben tener acceso a los datos y el propósito del procesamiento.

Derecho de oposición                 Permite a los usuarios a rehusarse al procesamiento de su información personal cuando no hayan prestado su consentimiento o no hayan firmado un contrato.

Derecho de supresión                 Permite que los usuarios soliciten la eliminación de todos sus datos personales cuando dejan un servicio o aplicación.

Derecho de rectificación             Permite que los usuarios soliciten la modificación de información errónea.

Derecho a la información            Garantiza que los usuarios reciban información clara y entendible por parte de las entidades que procesan sus datos, ya sea que estas entidades los recopilaron de manera directa o a través de terceros. Toda la información provista al usuario debe ser concisa, comprensible, y de fácil acceso.

Derecho a la explicación             Motiva a los usuarios a obtener información sobre el tratamiento de datos personales automatizado y sus consecuencias. Este derecho es esencial para conocer el uso de algoritmos que tienen un impacto en la vida de los usuarios.

Derecho a la portabilidad            Permite que los usuarios movilicen datos personales que han compartido de una plataforma a otra que ofrezca servicios similares.

Cuadro 2. Derechos para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea.

La lista, que no es exhaustiva, permite ver las diversas dimensiones en que debe tutelarse la autodeterminación informativa de la ciudadanía y, además que estamos ante un ámbito que requiere de mucha precisión y visión al confeccionar normativa, al tratarse de conceptos jurídicos que aplican a situaciones altamente cambiantes, con muchas posibles vulnerabilidades para la integridad de las personas.

Legislación consultada sobre protección de datos personales

Como parte de la construcción de esta propuesta, se analizaron diferentes legislaciones, junto al RGPD, para incorporar otros aspectos en que había oportunidades de mejora. Entre las legislaciones consultadas están las siguientes:

Jurisdicción                       Nombre de la norma                                                                    Año                  

Argentina                           Proyecto de Ley de Protección de Datos  Personales                 Presentación: 2017

Brasil                                 Ley General de Protección de Datos Personales (LGPD)           Aprobación: 2018 Vigencia: 2020

Canadá                              Proyecto de Reforma a la Ley de Privacidad (Privacy Act)           Presentación: 2020

Nueva Zelanda                  Privacy Act                                                                         Vigencia: 2020

Ecuador                             Proyecto de Ley Orgánica de Protección de Datos                       Presentación: 2019

Estado de California,

Estados Unidos                 Ley de Privacidad para el Consumidor del Estado de California    Vigencia: 2018

Estado de California,

Estados Unidos                 Ley de Derechos de Privacidad

del Estado de California                                                               Vigencia: 2020

Unión Europea

(Parlamento y Consejo

Europeo)                            Reglamento General de Protección de Datos      Aprobación: 2016 Vigencia: 2018

Protección de Datos en América Latina

En cuanto a la legislación consultada en América Latina, conviene destacar, una legislación de reciente aprobación, la Ley General de Protección de Datos Personales de Brasil (LGPD), que entró en vigor en 2020, después de su aprobación en 2018 y dos años de vacancia. Si bien en términos de los principios y derechos que se explicaron, así como sus sanciones, usa un marco similar al RGPD, se encuentran algunas diferencias que son interesantes de destacar:

– Incorporó medidas mucho más restrictivas para el tratamiento de datos de personas menores de edad, en particular para la obtención del consentimiento informado. La edad debajo de la cual aplican estas restricciones son los 18 años (en el RGPD, esto es hasta los 16) y la información que recibe la persona titular tiene requisitos más específicos sobre su claridad, explicación del tratamiento, e inclusive el formato.

– Las sanciones a empresas fueron relativizadas al contexto brasileño, reduciendo los porcentajes a 2% de la facturación, mientras que en el RGPD este porcentaje llega hasta a 8% en algunos casos.

– En el tema de notificación de brechas de seguridad, la LGPD tiene plazos de notificación menos severos y específicos que el RGPD.

– En el tema de transferencia transfronteriza de datos, disminuyó las excepciones con las que cuenta el RGPD para validar la transferencia de un tercer país a la jurisdicción brasileña, dando como resultado un marco más estricto.

Este marco jurídico de protección de datos personales se considera uno de los más de avanzada en la región, siendo que cumple con los estándares más innovadores e incorpora temas novedosos, como el marco de protección de derechos de personas menores de edad y se adapta a la realidad jurídica e institucional brasileña.

Sin haber conseguido su aprobación aún, existen otros esfuerzos en América Latina orientados a actualizar las normas a estándares más innovadores de protección de datos personales. Uno de ellos es el proyecto de ley de protección de datos en Argentina, que, a grandes rasgos, utiliza la base de principios (en su capítulo 2) y derechos (en su capítulo 3) del RGPD de la UE. La iniciativa presentaba puntos de discusión álgidos como las excepciones al consentimiento por motivaciones de “seguridad nacional” muy abiertas o justificaciones difusas para evitar notificar a las personas usuarias sobre el tratamiento de sus datos, así como la poca independencia que tendría la autoridad de control de protección de datos personales (Pisanu, 2018), sin embargo, se ha procurado corregirlas en versiones recientes del proyecto de Ley.

Otro proyecto que resulta de interés mencionar es el Proyecto de Ley de Orgánica de Protección de datos personales del Ecuador, que tiene como fin adecuar sus normas a los estándares europeos, motivados también por aspectos de comercio internacional, siendo que dicho país actualmente no cuenta con un marco regulatorio específico para la Protección de Datos Personales: “al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que sí cuentan con Ley de Protección de Datos Personales”.

La orientación hacia la persona usuaria del proyecto de ley se puede observar en los principios que rigen el tratamiento (Capítulo II), los derechos que le asisten a las personas titulares de los datos (Capítulo III) y la especificidad de las normas de garantías para la seguridad y el tratamiento de los datos, así como las exigencias de responsabilidad proactiva que exigiría a las empresas y entidades que realicen algún tipo de tratamiento de datos personales.

Estas son legislaciones e iniciativas de la región que buscan ubicarse a la vanguardia de los estándares de protección de datos a nivel global, partiendo de los principios y derechos protegidos por la normativa europea, pero adaptándola a los contextos latinoamericanos y solventando oportunidades de mejora detectadas en el propio RGPD. Es en esta línea que se ha trabajado la presente propuesta legislativa.

La ley 8968: ¿cuáles son sus áreas de mejora?

Como se ha señalado, la Ley de Protección de Datos Personales que esta propuesta pretende remozar fue una legislación de avanzada en el momento de su aprobación, en 2011. Sin embargo, las primeras discusiones legislativas (que dan base a dicha legislación) datan de 2003. Esto, sumado al vertiginoso cambio tecnológico alrededor del tratamiento de datos personales -el cual hemos buscado sintetizar a lo largo de esta exposición de motivos-, definitivamente ha modificado las bases sobre las cuales una legislación robusta debería estar asentada.

Partiendo del contexto descrito, los referentes que se han analizado y la realidad institucional y nacional sobre protección de datos personales, se recogen a continuación los principales aspectos en los que se considera que la legislación costarricense tiene oportunidades de mejora.

1) Actualización de conceptos base utilizados en la legislación. Las nociones básicas a las cuales hace referencia la Ley vigente han sido superados en muchos casos. En algunas ocasiones, esto implicaría remozar conceptos ya empleados; en otras, añadir concepciones inexistentes en la legislación. Buenos ejemplos de esto son conceptos como “datos biométricos”, “datos genéticos” o “seudonimización”.

2) Desarrollo de los principios que rigen el tratamiento de datos personales, así como de los derechos que le asisten a las personas titulares. Teniendo como referente el RGPD de la Unión Europea, es evidente que los principios explicitados en la Ley nº 8968 son limitados y no generan un marco robusto para el tratamiento de datos en el país. Principios como la lealtad, la transparencia, la minimización de datos o la finalidad o conservación limitada son ejemplos de ello. Asimismo, los derechos que le asisten a la persona tienen múltiples áreas de mejora, en casos como el derecho de oposición, limitación del tratamiento, supresión, o la portabilidad.

3) Limitación tajante de las excepciones a la autodeterminación informativa de la persona interesada, y clarificación de las excepciones al consentimiento informado. Una de las áreas más relevantes de mejorar. Las excepciones a la autodeterminación informativa en la Ley vigente son excesivamente amplias y riesgosas para la ciudadanía, pues abren muchísimas posibilidades de disminuir la totalidad de garantías (y no solo el consentimiento informado) establecidas en la Ley, lo cual es urgente de limitar únicamente a casos determinados por Ley o por vía judicial. Por otro lado, las excepciones al consentimiento informado de la persona interesada, deben ser clarificados y establecidos de manera específica, cerrando el lugar a interpretación en la normativa.

4) Fortalecimiento institucional de la Autoridad Nacional, la Prodhab. Este fortalecimiento va en dos sentidos:

a) Dotar de independencia de criterio al órgano, mediante su traslado a un ámbito de la administración pública menos sujeta a determinaciones políticas coyunturales y

b) Robustecer presupuestariamente a la Prodhab a través de nuevos mecanismos de ingreso y una mayor flexibilidad en el uso de los recursos recaudados por cánones y multas.

5) Fortalecimiento de las garantías para la seguridad y la confidencialidad.

Implementar nuevas y mejores medidas preventivas, especialmente para tratamientos de datos de mayor riesgo. Entre los mecanismos que se podrían utilizar están robustecer los protocolos de actuación, los estudios de impacto o el requerimiento de una persona delegada de datos.

6) Fortalecimiento del esquema de sanciones. Actualización del esquema de sanciones de manera que esté acorde con la realidad económica del mercado de datos en la actualidad, bajo la premisa de que no sea más “rentable” para un ente responsable de tratamiento de datos, pagar multas que cumplir la ley.

7) Desarrollo de bases claras para la transferencia transfronteriza de datos. Establecer reglas nuevas bajo las cuales la Autoridad Nacional pueda determinar cuando es posible y válido realizar una transferencia de datos a otra jurisdicción, resguardando la integridad de los datos de las personas titulares de los mismos.

Respondiendo a las consideraciones de fortalecimiento de la Ley nº 8968, Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales arriba detalladas y con base en las consideraciones previamente expuestas, sometemos a su consideración la presente iniciativa de ley.

Bibliografía

AccessNow.org. (2018). La Creación de un Marco para la Protección de Datos: una guía para los Legisladores sobre qué hacer y qué no. https://www.accessnow.org/cms/assets/uploads/2018/04/manual-de-proteccion-de-datos.pdf

BBC Mundo. (2018, 21 marzo). Cambridge Analytica: Mark Zuckerberg reconoce que Facebook cometió errores en medio del peor escándalo que ha enfrentado la red social. de https://www.bbc.com/mundo/noticias-43484188

Bunse, S. (2021) Global Cyber Troops Country Profile: Costa Rica. LEAD University& Georgetown University. https://comprop.oii.ox.ac.uk/wp-content/uploads/sites/127/2021/01/Cyber-Troop-Costa-Rica-2020.pdf

Banco Interamericano de Desarrollo, BID. (2019). LA GESTIÓN ÉTICA DE LOS DATOS: Por qué importa y cómo hacer un uso justo de los datos en un mundo digital. https://publications.iadb.org/publications/spanish/document/La_Gesti%C3%B3n_%C3%89tica_de_los_Datos.pdf

Hans, B. C., & Bergés, A. (2014). Psicopolítica: neoliberalismo y nuevas técnicas de poder. Barcelona, España: Herder.

Harvey, D. (2013). Ciudades rebeldes. Tres Cantos: Akal.Graham-Harrison, E., & Cadwalladr, C. (2019, 21 junio). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

Presidência da República, Brasil. (2019). Lei Geral de Proteção de Dados Pessoais (LGPD). https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Valenzuela, S. & Arriagada, A. (2016). Viralizando la emoción y por qué la compartimos online. En A. Arriagada (ed.). El mundo en mi mano: La revolución de los datos móviles. Santiago: Fundación País Digital.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO ÚNICO- Se reforma integralmente la Ley n° 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales del 5 de setiembre de 2011, que en lo sucesivo dirá:

“LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

CAPÍTULO I. DISPOSICIONES GENERALES

SECCIÓN ÚNICA

ARTÍCULO 1.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su autonomía personal con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona.

ARTÍCULO 2.- Ámbito de aplicación material

Esta ley será de aplicación al tratamiento de los datos personales, incluyendo la recopilación, el uso, la retención y análisis, por organismos públicos o privados.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas, siempre y cuando estas sean utilizadas con fines exclusivamente personales o domésticos y no sean vendidas o de cualquier otra manera comercializadas, incluyendo fines de prospección.

ARTÍCULO 3.- Ámbito de aplicación territorial

Esta ley se aplica en cualquiera de las siguientes circunstancias:

a) Cuando haya tratamiento de datos personales recopilados en territorio costarricense en el contexto de las actividades propias del responsable de la base de datos, independientemente de que dicho tratamiento tenga lugar en Costa Rica o no.

b) Cuando haya tratamiento de datos de personas que residan en la República de Costa Rica por parte de un responsable no establecido en el territorio costarricense, independientemente de si a las personas interesadas se les requiere su pago o no.

ARTÍCULO 4.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier clase de fichero, que sea objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.

b) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

c) Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

d) Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

e) Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

f) Fuentes de acceso público: Bases de datos que pueden ser consultadas por cualquier persona física o jurídica, pública o privada, nacional o internacional cuyo acceso no se encuentre limitado por la normativa vigente o disposición de la Autoridad de Protección de Datos Personales

g) Datos sensibles: Datos relativos a etnia, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, identidad de género, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos humanos o la dignidad e integridad de las personas. Los metadatos que identifiquen o hagan identificable a un ser humano, también formarán parte de este concepto, en la medida en que puedan dar origen a discriminaciones o vulneraciones de derechos humanos, y estarán definidos vía reglamentaria. Igualmente, por vía reglamentaria, la Autoridad de Protección de Datos Personales podrá determinar otras categorías de datos sensibles que no estén expresamente enumeradas en el listado de este inciso.

h) Datos de acceso restringido: todos los datos personales privados que no se consideren sensibles. Son de interés únicamente para su titular o para la Administración Pública. No son de acceso irrestricto independientemente de si forman o no parte de fuentes de acceso público o se encuentran en bases de datos de la Administración Pública.

i) Datos de acceso irrestricto: datos de acceso general, contenidos en bases de datos públicas, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

j) Deber de confidencialidad: obligación de los responsables del tratamiento de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aún después de finalizada la relación con la base de datos.

k) Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

l) Fichero: todo conjunto estructurado de datos personales, manual o automatizado, accesible con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

m) Persona interesada: persona física titular de los datos que sean objeto del tratamiento, total o parcialmente automatizado o manual.

n) Responsable: persona física o jurídica, sea pública o privada, que administre, gerencie o se encargue de una base de datos, quién es competente para señalar, con arreglo a la ley, cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento se les aplicarán.

o) Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a la persona interesada sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

p) Tratamiento o procesamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos total o parcialmente automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

q) Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de grupo de interés económico podrá ser demostrada por medio de una declaración jurada protocolizada o documento legal equivalente de la jurisdicción del titular de la base de datos sin perjuicio de las facultades de investigación de la PRODHAB.

CAPÍTULO II. PRINCIPIOS Y DERECHOS PARA LA PROTECCIÓN DE DATOS PERSONALES

SECCIÓN I. PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

ARTÍCULO 5.- Principio de lealtad y legalidad

Los datos personales deben ser procesados de manera justa y en apego a los límites de esta ley y el marco normativo vigente. Toda información deberá ser procesada con una base jurídica lícita, con un propósito definido, y de una manera justa y transparente. Las personas usuarias deberán ser informadas pertinentemente sobre cómo se recopilarán, usarán o almacenarán sus datos y quién lo hará.

ARTÍCULO 6- Principio de transparencia de la información

El responsable del tratamiento tomará las medidas oportunas para facilitar a la persona interesada todas las informaciones indicadas en esta Ley, así como cualquier comunicación relativa al tratamiento de datos personales, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a la población infantil.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite la persona interesada, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

ARTÍCULO 7.- Principio de finalidad y conservación limitadas

Los datos personales deberán ser recopilados y procesados sólo para fines determinados, explícitos y legítimos. El propósito para el que se procesan dichos datos debe ser explícito y no deberán ser conservados por más tiempo que el necesario para cumplir con ese fin. Los datos no deben ser procesados de una manera que sea incompatible con dicho propósito.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

ARTÍCULO 8.- Principio de minimización de datos

Los datos personales procesados y recopilados deben limitarse a ser suficientes, pertinentes y no excesivos en relación con el propósito específico y definido previamente.

ARTÍCULO 9.- Principio de calidad de la información

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento total o parcialmente automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados. Los usuarios deben tener el derecho a eliminar, rectificar, y corregir su información personal, la cual debe cumplir con las siguientes características:

a) Actualidad: Los datos de carácter personal deberán ser actuales. El responsable de las bases de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

b) Veracidad: Los datos de carácter personal deberán ser veraces. La persona responsable de la base de datos está obligada a modificar o suprimir los datos que falten a la verdad.

c) Exactitud: Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos -del todo o en parte- o incompletos sean suprimidos de la base de datos o sustituidos por los correspondientes datos rectificados, actualizados o complementados, respetando los fines para los que fueron recogidos o tratados.

ARTÍCULO 10.- Principio de integridad y confidencialidad

Los datos personales deben ser procesados de manera que se garantice la seguridad e indemnidad de los mismos, así como la protección contra el tratamiento no autorizado o ilegítimo y contra la pérdida accidental, destrucción o daños de los datos. Para todo ello, se tomarán las medidas técnicas y organizacionales pertinentes que eviten vulnerabilidades en el acceso a dicha información.

ARTÍCULO 11.- Principio de gratuidad

Se establece el principio de gratuidad en el ejercicio de los derechos tutelados por la presente ley, para la persona que posea la titularidad de los datos personales o en el caso de la persona menor de edad, para su representante legal.

SECCIÓN II. DERECHOS DE LA PERSONA ANTE EL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO 12.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta ley.

Se reconoce la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones y datos concernientes a cada persona, cuya titularidad sobre los datos es exclusiva e irrenunciable. Este derecho es la manifestación de la protección a la intimidad, en el ámbito del tratamiento de datos personales, evitando que se propicien acciones discriminatorias o usos inadecuados de los mismos.

ARTÍCULO 13.- Consentimiento informado

Cuando se soliciten datos de carácter personal, la persona titular de los datos tiene derecho a ser informada de modo expreso, preciso e inequívoco de la posible recopilación y procesamiento de sus datos personales, como mínimo sobre los siguientes aspectos:

a) La existencia de una base de datos personales.

b) Las categorías de datos personales contenidas en la base.

c) Los fines que se persiguen con la recolección de estos datos y la base jurídica del tratamiento.

d) Los destinatarios de la información, así como de quiénes podrán consultarla.

e) El carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.

f) El tratamiento que se dará a los datos solicitados.

g) Las consecuencias de la negativa a suministrar los datos.

h) La posibilidad de ejercer los derechos que le asisten.

i) La identidad y datos de contacto del responsable de la base de datos.

j) El plazo durante el cual se conservarán los datos personales.

k) El derecho a presentar una reclamación ante las autoridades correspondientes.

l) La existencia o no de decisiones automatizadas, incluida la elaboración de perfiles.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible. No obstante, dependiendo del mecanismo utilizado para la recolección del Consentimiento Informado, la Autoridad de Protección de Datos Personales podrá autorizar formas simplificadas respecto de los contenidos de los aspectos señalados, siempre cuando la información quede a disposición del interesado, en el momento que éste haga requerimiento de la misma.

ARTÍCULO 14.- Otorgamiento del consentimiento

Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar en forma expresa, ya sea en un medio físico o electrónico. El consentimiento podrá ser revocado en cualquier momento, sin efecto retroactivo.

ARTÍCULO 15.- Excepciones al consentimiento informado

No será necesario el consentimiento expreso:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

c) Para la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) Para el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, o para la adecuada prestación de servicios públicos, siempre que los datos se hayan anonimizado previamente y no exista riesgo de que las personas sean identificadas.

e) Cuando el tratamiento sea necesario para la ejecución de un contrato solicitado por la persona titular. O bien, para la aplicación de un contrato en el que el interesado es parte.

f) Cuando es necesario el tratamiento para proteger intereses vitales de la persona interesada o de otra persona física, si la persona interesada no está capacitada, física o jurídicamente, para dar su consentimiento.

g) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Se prohíbe en todo caso el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

ARTICULO 16. – Condiciones aplicables al consentimiento de la persona menor de edad en relación con los servicios de la sociedad de la información

Cuando se apliquen los principios relativos al consentimiento informado en relación con la oferta directa a personas menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales de una persona menor de edad se considerará lícito cuando tenga como mínimo 15 años. Si es menor de 15 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo autorizó el titular de la patria potestad o tutela sobre el niño o la niña, y solo en la medida en que se dio o autorizó.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño o la niña, teniendo en cuenta la tecnología disponible.

ARTÍCULO 17.- Excepciones a la Autodeterminación Informativa

Los derechos y las garantías establecidos en esta ley podrán ser limitados en las siguientes circunstancias:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

ARTÍCULO 18.- Derecho de acceso a los datos personales

Las personas usuarias deberán tener derecho de acceso a los datos recopilados, el propósito del procesamiento y a conocer quiénes los procesarán en cualquier momento. La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

La persona responsable del tratamiento de los datos debe facilitar la información que la persona solicite, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

Las entidades deben brindar su información de contacto y una dirección de correo electrónico a las personas usuarias para que estas puedan comunicarse con ellos en caso de que existan problemas.

El derecho de acceso a la información personal garantiza las siguientes facultades de la persona interesada:

a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, lo siguiente: confirmación o no de la existencia de datos suyos en archivos o bases de datos, el propósito por el que se procesan, destinatarios o personas autorizadas, origen de la recolección de datos, categoría de datos procesados, plazo previsto de conservación, si los datos están siendo utilizados para la toma de decisiones automáticas o si los mismos están siendo transmitidos a terceros países.

b) En caso de que existan datos o información relativa a su persona, estos le deberán ser comunicados y brindados en forma precisa, entendible, de fácil acceso y con lenguaje simple y claro. Además, la persona interesada también podrá saber la finalidad con que fueron recopilados los datos y el uso que se les ha dado, bien hayan sido recopilados de manera directa o a través de terceros. El informe deberá ser completo y exento de codificaciones. Deberá estar acompañado de una aclaración de los términos técnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

ARTÍCULO 19.- Derecho a la explicación

Las personas interesadas tienen derecho a una explicación sobre las lógicas y mecanismos empleados, además de los fines y las consecuencias, para el procesamiento automatizado de los datos personales que hayan sido recopilados.

Dentro de esta explicación estará incluido todo algoritmo cuyo diseño o programación pueda tener un impacto en el destino o uso de los datos recopilados, y de ser solicitado será incluido dentro de los reportes requeridos por las personas usuarias sobre el tratamiento de sus datos.

ARTÍCULO 20.- Derecho de oposición

La persona usuaria podrá oponerse al procesamiento de sus datos personales, si no ha mediado su consentimiento para ello, o no lo ha expresado o aceptado por escrito de forma física o digital. En cualquier momento, el titular de los datos personales puede oponerse a la utilización de sus datos para la toma de decisiones automáticas, parcialmente automáticas o fines de mercadotecnia directa, incluido el análisis de perfiles.

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, con la excepciones que por efecto de esta ley resulten de aplicación.

ARTÍCULO 21. – Derecho a la limitación del tratamiento

La persona interesada podrá solicitar del responsable la suspensión de todo tratamiento de sus datos personales, reservando los mismos en el estado que se encontraban al momento de surgir los hechos objeto de la solicitud, cuando se cumpla alguna de las siguientes condiciones:

a) La persona interesada impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.

b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesita los datos personales para los fines del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

ARTÍCULO 22.- Derecho de rectificación

La persona interesada tendrá el derecho de obtener la rectificación o actualización de sus datos personales, cuando los datos en poder del responsable del tratamiento estén incompletos, desactualizados o sean inexactos.

Dicha rectificación o actualización puede ser solicitada en cualquier momento por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o las personas sin capacidad volitiva o cognoscitiva.

En el caso de datos de personas fallecidas, les corresponderá este derecho a sus          sucesores o herederos.

ARTÍCULO 23.- Derecho de supresión

La persona interesada tiene derecho a la supresión de sus datos y cualquier información vinculada a su persona al momento en que suspenda el uso de un servicio o aplicación que haya originado la recopilación de los datos. El responsable del tratamiento deberá garantizar la confidencialidad respecto a esa información posterior a la eliminación. Igual derecho tendrá, cuando hayan sido recopilados sin su autorización.

El derecho de supresión no podrá ser ejercido cuando el tratamiento de los datos sea necesario para ejercer el derecho a la libertad de expresión, la libertad de prensa e información, lo cual incluye las expresiones periodísticas, académicas, artísticas o literarias, de archivo o de investigación científica.

Dicha supresión puede ser solicitada por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o sin capacidad volitiva o cognoscitiva. En el caso de datos de personas fallecidas, les corresponderá este derecho a sus sucesores o herederos.

Igualmente, la persona interesada podrá solicitar la supresión de sus datos personales, cuando medie y legalmente proceda, el retiro del consentimiento informado otorgado al efecto del tratamiento.

ARTÍCULO 24.- Derecho a la portabilidad

Las personas titulares de los datos podrán solicitar el traslado de sus datos personales, o parte de ellos, hacia la base de otra empresa, plataforma o ente prestador de servicios cuando sea técnicamente posible, posibilidad que determinará la autoridad competente. Para ello se deberán salvaguardar los principios y derechos reconocidos en esta ley.

ARTÍCULO 25.- Autorización para la transferencia de datos

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

SECCIÓN III. CATEGORÍAS PARTICULARES DE DATOS PERSONALES

ARTÍCULO 26.- Prohibición del tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual de una persona física o cualquier otro dato sensible.

ARTÍCULO 27.- Circunstancias de no aplicabilidad de la prohibición de tratamiento de datos sensibles

El artículo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:

a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando en la legislación costarricense se establezca que la prohibición mencionada no puede ser levantada por el interesado;

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, de la seguridad social o ayudas sociales, en la medida en que así lo autorice el marco normativo costarricense y establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

f) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

g) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación costarricense, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

h) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

ARTÍCULO 28.- Datos personales de acceso restringido

Los datos de acceso restringido son todos aquellos datos personales de índole privado que no sean considerados sensibles. Son susceptibles de ser tratados en los términos que esta ley especifica. Si bien estos datos podrían formar parte de bases datos de la Administración Pública o de fuentes de acceso público, no por ello son considerados de acceso irrestricto, debido a que son de interés únicamente para su titular o para la Administración Pública.

SECCIÓN IV. SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

ARTÍCULO 29.- Seguridad de los datos por diseño y por defecto

La persona responsable de la base de datos deberá adoptar las políticas internas y tomar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cumplir con los principios de esta ley y evitar cualquier acción contraria a la misma.

Dichas políticas y medidas se tomarán desde el diseño y el desarrollo de cualquier aplicación, servicio o producto basado en el tratamiento de datos personales o que tratan datos personales para cumplir su función, y deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual para garantizar la protección de la información almacenada.

Además, deberán reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento y permitir a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.

No se registrarán datos personales en bases que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas. Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos. Estos principios se tendrán en cuenta para el tratamiento de datos tanto a nivel privado como público, sea o no con fines de lucro.

ARTÍCULO 30.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevada del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

ARTÍCULO 31.- Estudios de impacto

Para aquellas operaciones de tratamiento de datos que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que podrían afectar a un gran número de interesados o podrían entrañar un alto riesgo, sea por su alcance, por la sensibilidad de los datos a tratar o por la dificultad para los interesados de hacer cumplir sus derechos, deberá realizarse previamente un estudio de impacto del tratamiento de datos por parte de la persona responsable del tratamiento.

El estudio de impacto deberá valorar la probabilidad y alcance de los riesgos, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Además debe incluir las medidas, garantías y mecanismos previstos para mitigar dichos riesgos, garantizar la protección de los datos personales y demostrar la conformidad con la presente ley.

Las características específicas de dichos estudios serán determinadas vía reglamento. La Autoridad de Protección de Datos determinará cuáles operaciones de tratamiento de datos requerirán dichos estudios al momento de su registro.

ARTÍCULO 32.- Protocolos de actuación

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, deberán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, “iuris tantum”, el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

ARTÍCULO 33.- Vulneración de Datos Personales.

El responsable deberá informar tanto al titular como a la PRODHAB, sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, pérdida de los mismos, destrucción, extravío, alteración o similares, como consecuencia de una vulnerabilidad de la seguridad de la cual entrará en conocimiento, para lo cual tendrá cinco días hábiles a partir del momento en que se conoció la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

La información mínima que deberá proveerse será:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata y las que serán tomadas;

d) Los medios o el lugar, donde puede obtener más información al respecto.

ARTÍCULO 34.- Persona Delegada de Protección de Datos

Si la Autoridad de Protección de Datos determina que la operación de tratamiento presenta altos riesgos para la integridad de los datos personales, el responsable del tratamiento deberá designar a una persona delegada de protección de datos.

Dicha persona delegada velará por el cumplimiento legal de la normativa atinente y deberá contar con capacidades y competencias profesionales para responder ante las autoridades. El rol podrá ser asumido por una persona a lo interno de la institución u organización, o por un tercero.

Reglamentariamente se establecerán los requisitos para las personas delegadas, así como los criterios para definir en qué operaciones de tratamiento será necesaria su existencia.

ARTÍCULO 35.- Códigos de conducta

La Agencia de Protección de Datos de los Habitantes, el gobierno central, las instituciones públicas, entes gremiales, asociaciones y empresas privadas, deberán promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación de la presente Ley, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas, las pequeñas y medianas empresas.

ARTÍCULO 36.- Garantías efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

CAPÍTULO III. AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (PRODHAB)

SECCIÓN I. DISPOSICIONES GENERALES

ARTÍCULO 37.- Agencia de Protección de Datos de los Habitantes (Prodhab)

Se crea la Agencia de Protección de Datos de los Habitantes (PRODHAB), como un órgano adscrito al Poder Legislativo de la República y que desempeñará sus funciones con absoluta independencia funcional, administrativa, técnica, presupuestaria y de criterio. Tendrá personalidad jurídica propia en el desempeño de las funciones que le asigna esta ley.

ARTÍCULO 38.- Atribuciones

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales.

Esta atribución se aplicará para los casos concretos presentados ante la Agencia y cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información y, para la realización de investigaciones sobre la aplicación de la presente ley.

e) Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.

f) Ordenar, de oficio o a petición de parte, el acceso, rectificación, supresión, explicación, portabilidad, olvido u oposición, en el tratamiento de las informaciones contenidas en los archivos y las bases de datos, cuando éstas contravengan las normas sobre protección de los datos personales.

g) Imponer las sanciones establecidas, en esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.

h) Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.

i) Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

k) Brindar asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley, tanto a entes del sector público como el privado, para lo cual quedará habilitada a la venta de servicios, cuyo costo se establecerá mediante un tarifario de publicación y actualización periódica. Los precios de dicho tarifario deberán demostradamente estar acordes con los valores del mercado.

En el ejercicio de sus atribuciones, la Prodhab podrá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

ARTÍCULO 39.- Dirección de la Agencia

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función, ser de reconocida solvencia profesional y moral, y tener comprobada experiencia y conocimiento en la materia de protección de datos personales.

El término de su nombramiento será por un período de hasta 4 años. En caso de declararse la vacancia, según lo dispuesto en este capítulo, la designación de la persona sustituta no podrá hacerse por un término mayor al que faltare para completar el período respectivo. Podrá ser reelecta por una única ocasión de forma continua.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

ARTÍCULO 40.- Proceso de nombramiento de la Dirección

La persona directora será nombrada por la Asamblea Legislativa. Para dicho nombramiento, la Asamblea anunciará el concurso de forma pública y podrá recibir postulaciones de cualquier persona que cumpla con los requisitos establecidos en esta Ley. La Comisión de Nombramientos definirá un procedimiento para estudiar dichas postulaciones, el cual deberá garantizar el cumplimiento de dichos requisitos, además de determinar mediante calificaciones objetivas la idoneidad y conocimiento de las diferentes personas candidatas. Al concluir dicho procedimiento, recomendará una terna de personas postulantes al Plenario.

El Plenario Legislativa elegirá, mediante votación pública y con mayoría absoluta, a la persona que dirigirá a la Prodhab. El Plenario podrá no apegarse a la recomendación emitida por la Comisión solamente de entre las personas postulantes.

ARTICULO 41.- Juramentación.

La persona directora de la Prodhab debe rendir el juramento previsto en el artículo 194 de la Constitución Política ante el Plenario de la Asamblea antes de iniciar sus labores en el cargo.

ARTICULO 42.- Causas de cesación.

La persona directora de la Prodhab de la República cesará en sus funciones, por cualquiera de las siguientes causales:

a) Renuncia a su cargo.

b) Muerte o incapacidad sobreviniente

c) Negligencia notoria o por violaciones graves al ordenamiento jurídico en el cumplimiento de los deberes de su cargo

d) Incurrimiento en cualquiera de las incompatibilidades previstas en esta Ley

e) Haber sido condenado, en sentencia firme, por delito cometido en forma dolosa.

La Asamblea Legislativa debe declarar vacante el cargo de la Dirección Nacional de la Prodhab, cuando se presente una de las causales previstas en los incisos a), b), d) y e) del presente artículo.

En el caso del inciso c), la Presidencia Legislativa nombrará una Comisión que le dará audiencia a la persona directora e informará a la Asamblea Legislativa, el resultado de la investigación, en el término de quince días hábiles.

ARTÍCULO 43.- Dirección Adjunta

La Asamblea Legislativa nombrará una persona como Director o Directora Adjunta, de una lista de tres candidatos propuestos por la persona Directora Nacional, a más tardar un mes después de su nombramiento. Quien ocupe la Dirección Adjunta deberá reunir los mismos requisitos exigidos para el cargo titular y estará sometido a las mismas prohibiciones y disposiciones que esta ley impone a ese cargo.

La personas elegida en este cargo será colaborador directo del Director Nacional de la PRODHAB; cumplirá las funciones que éste le asigne y lo sustituirá en sus ausencias temporales.

ARTÍCULO 44.- Personal de la Agencia

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

ARTÍCULO 45.- Prohibiciones para las personas funcionarias

Todas las personas funcionarias de la Prodhab tendrán las siguientes prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento, o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.

b) Involucrarse, personal e indebidamente, en asuntos conocidos en el marco de las funciones de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.

d) En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

ARTÍCULO 46.- Presupuesto

El presupuesto de la Prodhab estará constituido por lo siguiente:

a) Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros Estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.

d) Lo generado por sus recursos financieros.

e) Lo generado por la venta de servicios de asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a gastos de capital de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley n.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de septiembre de 2001.

Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

SECCIÓN II. REGISTRO DE ARCHIVOS Y BASES DE DATOS

ARTÍCULO 47.- Registro de archivos y bases de datos

Toda base de datos, pública o privada, debe inscribirse en el registro que al efecto habilite la Prodhab, exceptuando aquellas sin fines comerciales administradas por personas físicas. La inscripción no implica el traspaso o la transferencia de los datos.

La Prodhab definirá, al momento del registro y de acuerdo a la envergadura, características y riesgos del tratamiento de datos que se realizará, si la persona responsable de la base de datos deberá cumplir, y en qué medida, con lo dispuesto en el capítulo II, Sección IV de esta Ley, respecto a Estudios de impacto, Protocolo de Actuación y la Persona Delegada de protección de datos. Los criterios y plazos para dicho cumplimiento se establecerán en lineamientos que al respecto confeccionará y revisará periódicamente la Prodhab.

CAPÍTULO V. PROCEDIMIENTOS

SECCIÓN I. NORMAS DE PROCEDIMIENTO

ARTÍCULO 48.- Legitimación para denunciar

Cualquier persona, grupo de personas u organismos debidamente habilitados para representar personas que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada se encuentra en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

ARTÍCULO 49.- Trámite de las denuncias

Todo procedimiento ordinario se regirá por el Libro Segundo de la Ley General de la Administración Pública, sin perjuicio de las regulaciones específicas que se puedan establecer vía el reglamento.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona o del grupo de personas interesadas, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

ARTÍCULO 50.- Efectos de la resolución estimatoria

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

SECCIÓN II. RÉGIMEN SANCIONATORIO

ARTÍCULO 51.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si un tratamiento de datos personales regulado por esta ley está siendo empleado de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario.

ARTÍCULO 52.- Faltas leves

Las faltas leves, señaladas en este artículo, se sancionarán con multas administrativas de hasta de diez salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República como máximo o, si se trata de una empresa, con una multa equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones indicadas en esta ley.

b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

ARTÍCULO 53.- Faltas graves

Las faltas graves, señaladas en este artículo, se sancionarán con multas administrativas de entre diez y cuarenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

d) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Artículo 54. – Faltas gravísimas

Las faltas gravísimas, señaladas en este artículo, se sancionarán con multas administrativas de entre treinta y sesenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas gravísimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.

b) Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

c) Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

d) Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.

f) Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

Artículo 55.- Criterios para establecer la sanción

Para tomar una determinación sancionatoria, el tipo de sanción y su cuantía, la Prodhab deberá considerar los siguientes criterios, sin perjuicio de valorar las infracciones de manera acumulativa:

a. Naturaleza de la infracción: número de personas afectadas, daños sufridos, duración de la infracción y propósito del procesamiento, infracción leve, grave o gravísima.

b. Intención: si la infracción es intencional o debido a negligencia

c. Mitigación: acciones tomadas para mitigar el daño a las personas interesadas

d. Medidas preventivas: cuánta preparación técnica y organizativa había implementado previamente la empresa para evitar el incumplimiento

e. Reincidencia: Posibles infracciones anteriores, incluido advertencias y multas relacionadas a similares u otras infracciones en área de seguridad digital, privacidad y protección de datos.

f. Cooperación: cuán cooperativa ha sido la empresa con la autoridad supervisora para remediar la infracción.

g. Tipo de datos afectados: qué tipos de datos impactado por la infracción.

h. Notificación: si la infracción fue notificada proactivamente a la autoridad supervisora por la propia empresa o un tercero.

SECCIÓN III. PROCEDIMIENTOS INTERNOS

ARTÍCULO 56.- Régimen sancionatorio para bases de datos públicas

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPÍTULO VI. CÁNONES

ARTÍCULO 57.- Canon por regulación y administración de bases de datos

Las bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 41 de esta ley, estarán sujetas a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de trescientos dólares ($300), moneda de curso legal de los Estados Unidos de América, canon que se actualizará anualmente con base en el índice de valuación determinado por el comportamiento de la tasa de inflación (índice de precios al consumidor que calcula la Dirección General de Estadística y Censos).

Podrán eximirse del pago de este canon aquellas bases de datos utilizadas a lo interno de empresas o instituciones públicas, cuando sean utilizadas con fines exclusivamente administrativos y sin fines de comercialización, y así se demuestre ante la Prodhab.

También podrán eximirse de dicho pago las bases de datos utilizadas por organizaciones sin fines de lucro (como fundaciones, sindicatos, asociaciones, organizaciones religiosas, entre otras), cuando demuestren que la finalidad de la base no es de ninguna índole comercial o de lucro.

La exención de este pago no les excluye del cumplimiento de esta ley en todos sus alcances, incluidos los pagos producto de infracciones a la Ley. Quedan a salvo aquellas excepciones que se puedan aplicar puntualmente. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

ARTÍCULO 58.- Canon por comercialización de consulta

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso l) del artículo 4 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

CAPÍTULO VI. TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES

SECCIÓN ÚNICA. DE LAS TRANSFERENCIAS

ARTÍCULO 59.- Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones de la presente Ley, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

ARTÍCULO 60.- Transferencias basadas en un procedimiento de adecuación

Podrá realizarse una transferencia de datos personales a un tercer país u                     organización internacional cuando la PRODHAB, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

Al evaluar la adecuación del nivel de protección, la PRODHAB tendrá en cuenta, en particular, los siguientes elementos:

a) El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; y,

b) La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros,

ARTÍCULO 61.- Transferencias mediante garantías adecuadas

A falta de una autorización de la PRODHAB, por vía de un Procedimiento de Adecuación, el responsable o el encargado del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas podrán ser aportadas, por:

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) Convenios empresariales suscritos que expresamente reconozcan todos los derechos y obligaciones establecidos en la presente Ley, y se sujeten a la competencia de la Agencia de Protección de Datos de los Habitantes, para la debida protección de los datos personales en todos los alcances previstos por la presente normativa, respecto del tratamiento realizado fuera del ámbito de competencia territorial.

Esta norma aplicará en igual sentido, bajo el concepto de Grupo de Interés Económico, en los términos que establece la presente Ley.

ARTÍCULO 62.- Excepciones para situaciones específicas

En ausencia de una autorización producto de un Procedimiento de Adecuación o de Garantías Adecuadas, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) La transferencia sea necesaria por razones de interés público comprobado consistentemente;

e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento

TRANSITORIOS

TRANSITORIO I.

Las personas físicas o jurídicas, públicas o privadas, propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos, protocolos, contenidos de bases de datos y reglas de actuación a lo estipulado en la presente reforma, en un plazo máximo de un año.

TRANSITORIO II.

El Poder Ejecutivo adecuará el reglamento a la Ley nº 8968 previamente existente de acuerdo a los lineamientos establecidos en la presente reforma, en un plazo máximo de seis meses después de su entrada en vigencia, recogiendo las recomendaciones técnicas y legales que la Prodhab le proporcione.

TRANSITORIO III.-

Por un período de 8 años a partir de la entrada en vigencia de esta Ley, la Asamblea Legislativa dispondrá que se otorgue al menos un 5% de crecimiento anual a las transferencias que realiza el Estado a la Agencia, con el objetivo de fortalecer su labor de fiscalización, de realización de auditorías de oficio y de cobro de multas por infracciones a Ley nº 8968.

Rige a partir de su publicación.

ENRIQUE SÁNCHEZ CARBALLO

CATALINA MONTERO GÓMEZ

WELMER RAMOS GONZÁLEZ

LUIS RAMÓN CARRANZA CASCANTE

PAOLA VIVIANA VEGA RODRÍGUEZ

CAROLINA HIDALGO HERRERA

NIELSEN PÉREZ PÉREZ

LAURA GUIDO PÉREZ

MARIO CASTILLO MÉNDEZ

VICTOR MANUEL MORALES MORA