Archivos de la etiqueta: Datos sensibles

09May/21

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales, 12 febrero 2021

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales. Expediente nº 22.388. (Diario Oficial La Gaceta, año CXLLL, nº 30 (alcance 33 a la Gaceta 30), San José, Costa Rica, viernes 12 de febrero de 2021).

ASAMBLEA LEGISLATIVA. PROYECTO DE LEY COSTA RICA

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Expediente n° 22.388

La “Era de los Datos” plantea un gran reto para los Derechos Humanos así como para los Congresos del mundo entero. La llegada de diversas innovaciones tecnológicas en el análisis, recopilación y procesamiento de datos, así como varias coyunturas globales de reciente data, han puesto en relieve la necesidad de crear marcos normativos mucho más robustos en lo que se refiere al tratamiento de datos personales.

En 2016, Dominic Cummings, director de la campaña Leave EU -a favor de la salida de Reino Unido de la Unión Europea-, presentó al hoy Primer Ministro británico, Boris Johnson, una novedosa estrategia para ganar el referéndum conocido como Brexit. La estrategia consistía en usar los datos personales que los votantes entregan en sus redes sociales para crear perfiles psicosociales, y con ellos definir mensajes personalizados que permitieran inducir el voto.

Esa propuesta llegó al director de campaña de manos de la empresa AggregateIQ, aliada de la mundialmente conocida Cambridge Analytica (CA). Como se demostró en el Parlamento Británico posteriormente, CA participó en la campaña, y aportó los datos de los votantes y el software que generó los perfiles y la campaña personalizada. Por medio de los perfiles psicosociales, se dividió a los votantes en descartables, seguros, y potenciales. Para este último grupo, se trabajaron mensajes altamente personalizados basados en sus preocupaciones, en gran medida noticias falsas que alimentaban sus temores y desinformación.

Ese software también permitió identificar a aquellas personas desinteresadas en la política: quienes desde hace mucho tiempo no votaban o nunca habían votado en ningún proceso. Miles de estos votantes se encontraban en poblados alejados de los grandes centros de población, habiendo sido excluidos del proceso democrático, y también desplazados por los procesos de gentrificación (Harvey, 2013). Dicho grupo recibió por primera vez en mucho tiempo la visita de políticos que prometían empleo, seguridad social y vivienda… si el Reino Unido abandonaba la Unión Europea. Ese nivel de precisión -incluso fuera de las redes sociales- permiten las campañas de microtargeting basadas en datos personales.

Cambridge Analytica estuvo en el centro del escándalo desde marzo de 2018, cuando los diarios The Guardian, The New York Times y The Observer, revelaron que la consultora política accedió a los datos personales de 50 millones de usuarios de Facebook sin su autorización, y que fueron usados por la campaña del expresidente de los Estados Unidos, Donald Trump, con una estrategia digital prácticamente idéntica a la ejecutada en el Brexit (Graham y Cadwalladr, 2019). En este caso el énfasis también estuvo en la política migratoria y en divulgar noticias falsas sobre la candidata demócrata, Hillary Clinton.

La revelación la hizo uno de los creadores del sistema, Christopher Wylie, quien relató que los datos surgieron de un test de personalidad desarrollado por el profesor de la Universidad de Cambridge, Aleksandr Kogan, que, como muchas aplicaciones, requería a los usuarios iniciar sesión en Facebook y otorgar algunos permisos de acceso. 270 mil personas hicieron el test, sin saber que al hacerlo estaban autorizando a la aplicación recopilar toda su información y la de todos sus amigos de la red social, sumando alrededor de 87 millones de personas. Tampoco sabían que esa información iba a ser vendida a CA por 800 mil dólares.

El ex empleado de CA también reveló que Facebook supo lo que estaba pasando con los datos de sus usuarios muchos meses antes de que fuera divulgado por los medios de comunicación. Fue hasta después del escándalo, y de que las acciones de la red social tuvieran una millonaria caída, que su fundador y CEO, Mark Zuckerberg, reconoció públicamente los fallos en la seguridad (BBC Mundo, 2018).

Después de diversas investigaciones, Cambridge Analytica cerró, mientras Facebook siguió en el foco de atención por sus problemas de seguridad y el uso de los datos de sus usuarios. Tiempo después, la Comisión Federal de Comercio de Estados Unidos ordenó a la red social a pagar US$5.000 millones como sanción por las malas prácticas en el manejo de la seguridad de los datos de los usuarios. En Reino Unido, la red social fue condenada a pagar una multa de 500.000 libras (US $600.000) ante la Oficina del Comisionado de Información del Reino Unido por el mismo caso. La Resolución del Parlamento Europeo contra Facebook, del 25 de octubre de 2018, confirmó que se utilizaron datos personales de forma irregular por parte de Cambridge Analytica, dentro de los que se encontraban los datos de 2,7 millones de ciudadanos de la Unión.

Una visión de derechos humanos y centrada en las personas

Toda esta coyuntura profundizó las discusiones relacionadas al uso de los datos en el ámbito político-democrático, así como a los cambios que debían realizarse en las legislaciones del mundo. Como es evidente, las redes sociales están en el centro de tales debates.

Ciertamente, cada vez cobra más relevancia este tema entre una mayoría de la población; prueba de ello es la reciente migración masiva de la red de mensajería WhatsApp hacia otros servicios como Signal o Telegram (en el caso de Telegram, llegando a reportar 8 millones de personas usuarias nuevas por día a mediados de enero), debido a cambios en los términos y las condiciones de uso de WhatsApp, vinculados a cómo se usarían los datos y metadatos de sus usuarios (Sanz, 2021).

A pesar de esa creciente conciencia, coyunturas como las de Cambridge Analytica dejan claro que las empresas que lucran con los datos se aprovecharon de varios elementos claves: que las personas usuarias con su “permiso”, daban acceso a casi la totalidad de los datos colocados en sus perfiles así como a datos sobre su uso e interacción; que tales permisos acarreaban una falta de control sobre sus datos (una especie de “no retorno”) y que esencialmente las personas utilizan dichas redes para generar reacciones (likes) exponiendo su vida personal, y compartiendo información que provoque autosatisfacción, lo que permite conocer con gran precisión el perfil psicológico de esas personas de forma masiva.

“El acto de compartir noticias e información en redes sociales tiene que ver con la emoción que nos genera el contenido y que queremos socializar con el resto de las personas. Así, nos damos cuenta de que las redes sociales más que ser espacios de aislamiento social, son todo lo contrario: una proyección de nosotros mismos y un lugar donde queremos compartir no solo información, sino también emociones” (Valenzuela y Arriagada, 2016).

Este es precisamente el gran valor que hay en los datos personales en redes sociales: al haber tantísima información, tienen el potencial de identificar muy precisamente las necesidades, los miedos, los intereses de las personas y de incluso predecir los comportamientos, no solo en aspectos eminentemente comerciales o de consumo, sino en términos políticos. “La psicopolítica digital es capaz de llegar a procesos psíquicos de manera prospectiva. Es quizá mucho más rápida que la voluntad libre. Puede adelantarla. La capacidad de prospección de la psicopolítica digital significaría el fin de la libertad” (Hans y Bergés, 2014).

En este sentido, el abordaje de este gran reto debe hacerse desde el enfoque de los derechos humanos y debe comprender el valor que tiene para la robustez de las sociedades democráticas. Los marcos normativos deben tener como prioridad y centro a la persona, de forma que se garantice su autonomía y su autodeterminación alrededor de cómo se usa la información y la data que genera su vida, su interacción social, su interacción digital.

Estos marcos deben estar centrados en el usuario y enfocarse en amparar y fortalecer los derechos, al tiempo que proporcionen reglas claras y predecibles para que las cumplan las entidades públicas y privadas.” (AccessNow, 2018) Es decir, si bien los casos de mayor conocimiento público global -como los descritos arriba- han estado relacionados a empresas del sector privado, al enfocar la discusión sobre la actualización de la normativa desde las personas, les protege también ante los Estados y las instituciones públicas, evitando así usos abusivos de la información y brindando un marco de garantías más firme para la defensa de sus derechos.

“Asimismo, y como se ha podido observar a partir de los escándalos recientes que involucran a empresas del sector privado intensivas en el uso de datos, es necesario evitar que, sin contar con la experiencia necesaria, los gobiernos caigan en la tentación de desarrollar sistemas que utilicen los datos de los ciudadanos sin que incorporen paralelamente un enfoque ético y responsable desde su diseño que asegure cuestiones básicas como la privacidad o el consentimiento. Lo que aquí está en juego no es otra cosa que sentar las bases para un nuevo contrato social que permita una utilización masiva y responsable de los datos por parte de las entidades gubernamentales para proporcionar mejores servicios sociales, al tiempo que se mantiene la confianza de los ciudadanos en que los gobiernos gestionen sus datos de manera responsable.” (BID, 2019)

Datos sin protección: el reto de actualizar la normativa

Si bien ya en la década de los noventa muchos países del mundo contaban con leyes para la protección de los datos personales de sus ciudadanos, esas normativas no contemplaron un contexto como el descrito anteriormente: la era del Big Data y el desarrollo de tecnologías que tienden a que las personas pierdan el control y algunas veces hasta prácticamente la propiedad, sobre sus datos.

Costa Rica, en definitiva, no escapa a este panorama. El país cuenta con una Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales aprobada en 2011 -cuya discusión legislativa se remonta a inicios de los 2000-, que establece regulaciones para el manejo y procesamiento de datos sensibles en las bases de instituciones públicas y empresas, y que fue considerada de avanzada al momento de su creación. Sin embargo, carece de varios conceptos actuales, lo que le da un alcance relativamente limitado para tutelar correctamente los derechos de la ciudadanía en la era de la información y las nuevas tecnologías de recolección y procesamiento de datos.

El informe “Cyber Troops Country Profile: Costa Rica”, de Simone Bunse (2021), ha dejado ver que si bien en la actualidad las tácticas digitales para esparcir desinformación y propaganda electoral carecen de alta sofisticación, el uso de redes sociales con estos fines se acrecienta, ya se ha probado la contratación y el uso de servicios en el extranjero con estos fines, y es probable que su uso pueda acrecentarse y normalizarse en un futuro no muy lejano.

Por otro lado, también existen falencias y debilidades a nivel institucional -varias de ellas originadas en la ley- que no han permitido a la Autoridad Nacional de Protección de datos, la Prodhab, para hacer cumplir la ley actual y por tanto también deben subsanarse.

El Reglamento General de Protección de Datos de la Unión Europea: un referente global

El derecho a la protección de los datos personales está relacionado con el derecho a la privacidad, pero sus alcances son distintos. Más de 160 países consagran el derecho a la privacidad en sus constituciones, pero el entendimiento de lo que implica varía de un país a otro. Los estados miembros de la Unión Europea representan una excepción en este sentido, ya que reconocieron la protección de datos como un derecho fundamental en la Carta de 2001 de la UE.

La normativa que ha desarrollado la Unión Europea en materia de protección de datos ha servido de referente en para el resto del mundo, aunque ciertamente desde su aprobación también se han encontrado diversas oportunidades de mejora. En 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) y fue de aplicación en 2018. Una de sus virtudes fue el desarrollo de principios claros bajo los cuales debe realizarse cualquier tratamiento de datos personales, comprendiendo así que más allá de la tecnología utilizada o los términos en que se acordó el tratamiento de los datos en particular, los fundamentos desde los que se realiza dicho tratamiento deberían ser siempre la mismos.

Principio                                                             Resumen

Limitación del fin                            El tratamiento debe estar limitado a los fines legítimos para los cuales los datos personales fueron recogidos originalmente.

Minimización de datos                   Al momento de recoger datos, sólo se pueden solicitar los datos personales absolutamente necesarios para el fin legítimo acordado con la persona titular.

Exactitud                                         Los datos personales de los interesados deben ser siempre precisos y estar actualizados.

Integridad y confidencialidad       Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal.

Limitación del almacenamiento   Los datos solo deben ser conservados mientras sea necesario. Es decir, deben de ser eliminados una vez se haya cumplido el fin legítimo para se recogieron.

Lealtad y transparencia               Las empresas no deben realizar tratamientos que no sean legítimos, es decir, deben ser leales hacia las personas titulares con respecto a la ley. Además, las empresas deben ser transparentes con respecto al tratamiento, e informar a la persona interesada de manera abierta y transparente.

Cuadro 1. Principios para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea y Bhatia, P. (2018).

Asimismo, otro de los desarrollos conceptualmente interesantes del RGPD fueron las categorías de derechos, los cuales se plantearon bajo el mismo paradigma de procurar que, más allá de una tecnología o tipo de uso concreto, las personas usuarias puedan ejercer esos derechos en toda circunstancia, de manera que, además de ser derechos vinculantes para todo tratamiento de datos personales, deben ser de acceso gratuito y de aplicación permanente.

Derecho                                                              Resumen

Derecho de acceso                       Habilita a los usuarios a obtener confirmación de los servicios y compañías con respecto a la posible recopilación y procesamiento de sus datos personales. Los usuarios deben tener acceso a los datos y el propósito del procesamiento.

Derecho de oposición                 Permite a los usuarios a rehusarse al procesamiento de su información personal cuando no hayan prestado su consentimiento o no hayan firmado un contrato.

Derecho de supresión                 Permite que los usuarios soliciten la eliminación de todos sus datos personales cuando dejan un servicio o aplicación.

Derecho de rectificación             Permite que los usuarios soliciten la modificación de información errónea.

Derecho a la información            Garantiza que los usuarios reciban información clara y entendible por parte de las entidades que procesan sus datos, ya sea que estas entidades los recopilaron de manera directa o a través de terceros. Toda la información provista al usuario debe ser concisa, comprensible, y de fácil acceso.

Derecho a la explicación             Motiva a los usuarios a obtener información sobre el tratamiento de datos personales automatizado y sus consecuencias. Este derecho es esencial para conocer el uso de algoritmos que tienen un impacto en la vida de los usuarios.

Derecho a la portabilidad            Permite que los usuarios movilicen datos personales que han compartido de una plataforma a otra que ofrezca servicios similares.

Cuadro 2. Derechos para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea.

La lista, que no es exhaustiva, permite ver las diversas dimensiones en que debe tutelarse la autodeterminación informativa de la ciudadanía y, además que estamos ante un ámbito que requiere de mucha precisión y visión al confeccionar normativa, al tratarse de conceptos jurídicos que aplican a situaciones altamente cambiantes, con muchas posibles vulnerabilidades para la integridad de las personas.

Legislación consultada sobre protección de datos personales

Como parte de la construcción de esta propuesta, se analizaron diferentes legislaciones, junto al RGPD, para incorporar otros aspectos en que había oportunidades de mejora. Entre las legislaciones consultadas están las siguientes:

Jurisdicción                       Nombre de la norma                                                                    Año                  

Argentina                           Proyecto de Ley de Protección de Datos  Personales                 Presentación: 2017

Brasil                                 Ley General de Protección de Datos Personales (LGPD)           Aprobación: 2018 Vigencia: 2020

Canadá                              Proyecto de Reforma a la Ley de Privacidad (Privacy Act)           Presentación: 2020

Nueva Zelanda                  Privacy Act                                                                         Vigencia: 2020

Ecuador                             Proyecto de Ley Orgánica de Protección de Datos                       Presentación: 2019

Estado de California,

Estados Unidos                 Ley de Privacidad para el Consumidor del Estado de California    Vigencia: 2018

Estado de California,

Estados Unidos                 Ley de Derechos de Privacidad

del Estado de California                                                               Vigencia: 2020

Unión Europea

(Parlamento y Consejo

Europeo)                            Reglamento General de Protección de Datos      Aprobación: 2016 Vigencia: 2018

Protección de Datos en América Latina

En cuanto a la legislación consultada en América Latina, conviene destacar, una legislación de reciente aprobación, la Ley General de Protección de Datos Personales de Brasil (LGPD), que entró en vigor en 2020, después de su aprobación en 2018 y dos años de vacancia. Si bien en términos de los principios y derechos que se explicaron, así como sus sanciones, usa un marco similar al RGPD, se encuentran algunas diferencias que son interesantes de destacar:

– Incorporó medidas mucho más restrictivas para el tratamiento de datos de personas menores de edad, en particular para la obtención del consentimiento informado. La edad debajo de la cual aplican estas restricciones son los 18 años (en el RGPD, esto es hasta los 16) y la información que recibe la persona titular tiene requisitos más específicos sobre su claridad, explicación del tratamiento, e inclusive el formato.

– Las sanciones a empresas fueron relativizadas al contexto brasileño, reduciendo los porcentajes a 2% de la facturación, mientras que en el RGPD este porcentaje llega hasta a 8% en algunos casos.

– En el tema de notificación de brechas de seguridad, la LGPD tiene plazos de notificación menos severos y específicos que el RGPD.

– En el tema de transferencia transfronteriza de datos, disminuyó las excepciones con las que cuenta el RGPD para validar la transferencia de un tercer país a la jurisdicción brasileña, dando como resultado un marco más estricto.

Este marco jurídico de protección de datos personales se considera uno de los más de avanzada en la región, siendo que cumple con los estándares más innovadores e incorpora temas novedosos, como el marco de protección de derechos de personas menores de edad y se adapta a la realidad jurídica e institucional brasileña.

Sin haber conseguido su aprobación aún, existen otros esfuerzos en América Latina orientados a actualizar las normas a estándares más innovadores de protección de datos personales. Uno de ellos es el proyecto de ley de protección de datos en Argentina, que, a grandes rasgos, utiliza la base de principios (en su capítulo 2) y derechos (en su capítulo 3) del RGPD de la UE. La iniciativa presentaba puntos de discusión álgidos como las excepciones al consentimiento por motivaciones de “seguridad nacional” muy abiertas o justificaciones difusas para evitar notificar a las personas usuarias sobre el tratamiento de sus datos, así como la poca independencia que tendría la autoridad de control de protección de datos personales (Pisanu, 2018), sin embargo, se ha procurado corregirlas en versiones recientes del proyecto de Ley.

Otro proyecto que resulta de interés mencionar es el Proyecto de Ley de Orgánica de Protección de datos personales del Ecuador, que tiene como fin adecuar sus normas a los estándares europeos, motivados también por aspectos de comercio internacional, siendo que dicho país actualmente no cuenta con un marco regulatorio específico para la Protección de Datos Personales: “al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que sí cuentan con Ley de Protección de Datos Personales”.

La orientación hacia la persona usuaria del proyecto de ley se puede observar en los principios que rigen el tratamiento (Capítulo II), los derechos que le asisten a las personas titulares de los datos (Capítulo III) y la especificidad de las normas de garantías para la seguridad y el tratamiento de los datos, así como las exigencias de responsabilidad proactiva que exigiría a las empresas y entidades que realicen algún tipo de tratamiento de datos personales.

Estas son legislaciones e iniciativas de la región que buscan ubicarse a la vanguardia de los estándares de protección de datos a nivel global, partiendo de los principios y derechos protegidos por la normativa europea, pero adaptándola a los contextos latinoamericanos y solventando oportunidades de mejora detectadas en el propio RGPD. Es en esta línea que se ha trabajado la presente propuesta legislativa.

La ley 8968: ¿cuáles son sus áreas de mejora?

Como se ha señalado, la Ley de Protección de Datos Personales que esta propuesta pretende remozar fue una legislación de avanzada en el momento de su aprobación, en 2011. Sin embargo, las primeras discusiones legislativas (que dan base a dicha legislación) datan de 2003. Esto, sumado al vertiginoso cambio tecnológico alrededor del tratamiento de datos personales -el cual hemos buscado sintetizar a lo largo de esta exposición de motivos-, definitivamente ha modificado las bases sobre las cuales una legislación robusta debería estar asentada.

Partiendo del contexto descrito, los referentes que se han analizado y la realidad institucional y nacional sobre protección de datos personales, se recogen a continuación los principales aspectos en los que se considera que la legislación costarricense tiene oportunidades de mejora.

1) Actualización de conceptos base utilizados en la legislación. Las nociones básicas a las cuales hace referencia la Ley vigente han sido superados en muchos casos. En algunas ocasiones, esto implicaría remozar conceptos ya empleados; en otras, añadir concepciones inexistentes en la legislación. Buenos ejemplos de esto son conceptos como “datos biométricos”, “datos genéticos” o “seudonimización”.

2) Desarrollo de los principios que rigen el tratamiento de datos personales, así como de los derechos que le asisten a las personas titulares. Teniendo como referente el RGPD de la Unión Europea, es evidente que los principios explicitados en la Ley nº 8968 son limitados y no generan un marco robusto para el tratamiento de datos en el país. Principios como la lealtad, la transparencia, la minimización de datos o la finalidad o conservación limitada son ejemplos de ello. Asimismo, los derechos que le asisten a la persona tienen múltiples áreas de mejora, en casos como el derecho de oposición, limitación del tratamiento, supresión, o la portabilidad.

3) Limitación tajante de las excepciones a la autodeterminación informativa de la persona interesada, y clarificación de las excepciones al consentimiento informado. Una de las áreas más relevantes de mejorar. Las excepciones a la autodeterminación informativa en la Ley vigente son excesivamente amplias y riesgosas para la ciudadanía, pues abren muchísimas posibilidades de disminuir la totalidad de garantías (y no solo el consentimiento informado) establecidas en la Ley, lo cual es urgente de limitar únicamente a casos determinados por Ley o por vía judicial. Por otro lado, las excepciones al consentimiento informado de la persona interesada, deben ser clarificados y establecidos de manera específica, cerrando el lugar a interpretación en la normativa.

4) Fortalecimiento institucional de la Autoridad Nacional, la Prodhab. Este fortalecimiento va en dos sentidos:

a) Dotar de independencia de criterio al órgano, mediante su traslado a un ámbito de la administración pública menos sujeta a determinaciones políticas coyunturales y

b) Robustecer presupuestariamente a la Prodhab a través de nuevos mecanismos de ingreso y una mayor flexibilidad en el uso de los recursos recaudados por cánones y multas.

5) Fortalecimiento de las garantías para la seguridad y la confidencialidad.

Implementar nuevas y mejores medidas preventivas, especialmente para tratamientos de datos de mayor riesgo. Entre los mecanismos que se podrían utilizar están robustecer los protocolos de actuación, los estudios de impacto o el requerimiento de una persona delegada de datos.

6) Fortalecimiento del esquema de sanciones. Actualización del esquema de sanciones de manera que esté acorde con la realidad económica del mercado de datos en la actualidad, bajo la premisa de que no sea más “rentable” para un ente responsable de tratamiento de datos, pagar multas que cumplir la ley.

7) Desarrollo de bases claras para la transferencia transfronteriza de datos. Establecer reglas nuevas bajo las cuales la Autoridad Nacional pueda determinar cuando es posible y válido realizar una transferencia de datos a otra jurisdicción, resguardando la integridad de los datos de las personas titulares de los mismos.

Respondiendo a las consideraciones de fortalecimiento de la Ley nº 8968, Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales arriba detalladas y con base en las consideraciones previamente expuestas, sometemos a su consideración la presente iniciativa de ley.

Bibliografía

AccessNow.org. (2018). La Creación de un Marco para la Protección de Datos: una guía para los Legisladores sobre qué hacer y qué no. https://www.accessnow.org/cms/assets/uploads/2018/04/manual-de-proteccion-de-datos.pdf

BBC Mundo. (2018, 21 marzo). Cambridge Analytica: Mark Zuckerberg reconoce que Facebook cometió errores en medio del peor escándalo que ha enfrentado la red social. de https://www.bbc.com/mundo/noticias-43484188

Bunse, S. (2021) Global Cyber Troops Country Profile: Costa Rica. LEAD University& Georgetown University. https://comprop.oii.ox.ac.uk/wp-content/uploads/sites/127/2021/01/Cyber-Troop-Costa-Rica-2020.pdf

Banco Interamericano de Desarrollo, BID. (2019). LA GESTIÓN ÉTICA DE LOS DATOS: Por qué importa y cómo hacer un uso justo de los datos en un mundo digital. https://publications.iadb.org/publications/spanish/document/La_Gesti%C3%B3n_%C3%89tica_de_los_Datos.pdf

Hans, B. C., & Bergés, A. (2014). Psicopolítica: neoliberalismo y nuevas técnicas de poder. Barcelona, España: Herder.

Harvey, D. (2013). Ciudades rebeldes. Tres Cantos: Akal.Graham-Harrison, E., & Cadwalladr, C. (2019, 21 junio). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

Presidência da República, Brasil. (2019). Lei Geral de Proteção de Dados Pessoais (LGPD). https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Valenzuela, S. & Arriagada, A. (2016). Viralizando la emoción y por qué la compartimos online. En A. Arriagada (ed.). El mundo en mi mano: La revolución de los datos móviles. Santiago: Fundación País Digital.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO ÚNICO- Se reforma integralmente la Ley n° 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales del 5 de setiembre de 2011, que en lo sucesivo dirá:

“LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

CAPÍTULO I. DISPOSICIONES GENERALES

SECCIÓN ÚNICA

ARTÍCULO 1.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su autonomía personal con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona.

ARTÍCULO 2.- Ámbito de aplicación material

Esta ley será de aplicación al tratamiento de los datos personales, incluyendo la recopilación, el uso, la retención y análisis, por organismos públicos o privados.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas, siempre y cuando estas sean utilizadas con fines exclusivamente personales o domésticos y no sean vendidas o de cualquier otra manera comercializadas, incluyendo fines de prospección.

ARTÍCULO 3.- Ámbito de aplicación territorial

Esta ley se aplica en cualquiera de las siguientes circunstancias:

a) Cuando haya tratamiento de datos personales recopilados en territorio costarricense en el contexto de las actividades propias del responsable de la base de datos, independientemente de que dicho tratamiento tenga lugar en Costa Rica o no.

b) Cuando haya tratamiento de datos de personas que residan en la República de Costa Rica por parte de un responsable no establecido en el territorio costarricense, independientemente de si a las personas interesadas se les requiere su pago o no.

ARTÍCULO 4.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier clase de fichero, que sea objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.

b) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

c) Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

d) Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

e) Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

f) Fuentes de acceso público: Bases de datos que pueden ser consultadas por cualquier persona física o jurídica, pública o privada, nacional o internacional cuyo acceso no se encuentre limitado por la normativa vigente o disposición de la Autoridad de Protección de Datos Personales

g) Datos sensibles: Datos relativos a etnia, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, identidad de género, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos humanos o la dignidad e integridad de las personas. Los metadatos que identifiquen o hagan identificable a un ser humano, también formarán parte de este concepto, en la medida en que puedan dar origen a discriminaciones o vulneraciones de derechos humanos, y estarán definidos vía reglamentaria. Igualmente, por vía reglamentaria, la Autoridad de Protección de Datos Personales podrá determinar otras categorías de datos sensibles que no estén expresamente enumeradas en el listado de este inciso.

h) Datos de acceso restringido: todos los datos personales privados que no se consideren sensibles. Son de interés únicamente para su titular o para la Administración Pública. No son de acceso irrestricto independientemente de si forman o no parte de fuentes de acceso público o se encuentran en bases de datos de la Administración Pública.

i) Datos de acceso irrestricto: datos de acceso general, contenidos en bases de datos públicas, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

j) Deber de confidencialidad: obligación de los responsables del tratamiento de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aún después de finalizada la relación con la base de datos.

k) Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

l) Fichero: todo conjunto estructurado de datos personales, manual o automatizado, accesible con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

m) Persona interesada: persona física titular de los datos que sean objeto del tratamiento, total o parcialmente automatizado o manual.

n) Responsable: persona física o jurídica, sea pública o privada, que administre, gerencie o se encargue de una base de datos, quién es competente para señalar, con arreglo a la ley, cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento se les aplicarán.

o) Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a la persona interesada sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

p) Tratamiento o procesamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos total o parcialmente automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

q) Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de grupo de interés económico podrá ser demostrada por medio de una declaración jurada protocolizada o documento legal equivalente de la jurisdicción del titular de la base de datos sin perjuicio de las facultades de investigación de la PRODHAB.

CAPÍTULO II. PRINCIPIOS Y DERECHOS PARA LA PROTECCIÓN DE DATOS PERSONALES

SECCIÓN I. PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

ARTÍCULO 5.- Principio de lealtad y legalidad

Los datos personales deben ser procesados de manera justa y en apego a los límites de esta ley y el marco normativo vigente. Toda información deberá ser procesada con una base jurídica lícita, con un propósito definido, y de una manera justa y transparente. Las personas usuarias deberán ser informadas pertinentemente sobre cómo se recopilarán, usarán o almacenarán sus datos y quién lo hará.

ARTÍCULO 6- Principio de transparencia de la información

El responsable del tratamiento tomará las medidas oportunas para facilitar a la persona interesada todas las informaciones indicadas en esta Ley, así como cualquier comunicación relativa al tratamiento de datos personales, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a la población infantil.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite la persona interesada, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

ARTÍCULO 7.- Principio de finalidad y conservación limitadas

Los datos personales deberán ser recopilados y procesados sólo para fines determinados, explícitos y legítimos. El propósito para el que se procesan dichos datos debe ser explícito y no deberán ser conservados por más tiempo que el necesario para cumplir con ese fin. Los datos no deben ser procesados de una manera que sea incompatible con dicho propósito.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

ARTÍCULO 8.- Principio de minimización de datos

Los datos personales procesados y recopilados deben limitarse a ser suficientes, pertinentes y no excesivos en relación con el propósito específico y definido previamente.

ARTÍCULO 9.- Principio de calidad de la información

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento total o parcialmente automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados. Los usuarios deben tener el derecho a eliminar, rectificar, y corregir su información personal, la cual debe cumplir con las siguientes características:

a) Actualidad: Los datos de carácter personal deberán ser actuales. El responsable de las bases de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

b) Veracidad: Los datos de carácter personal deberán ser veraces. La persona responsable de la base de datos está obligada a modificar o suprimir los datos que falten a la verdad.

c) Exactitud: Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos -del todo o en parte- o incompletos sean suprimidos de la base de datos o sustituidos por los correspondientes datos rectificados, actualizados o complementados, respetando los fines para los que fueron recogidos o tratados.

ARTÍCULO 10.- Principio de integridad y confidencialidad

Los datos personales deben ser procesados de manera que se garantice la seguridad e indemnidad de los mismos, así como la protección contra el tratamiento no autorizado o ilegítimo y contra la pérdida accidental, destrucción o daños de los datos. Para todo ello, se tomarán las medidas técnicas y organizacionales pertinentes que eviten vulnerabilidades en el acceso a dicha información.

ARTÍCULO 11.- Principio de gratuidad

Se establece el principio de gratuidad en el ejercicio de los derechos tutelados por la presente ley, para la persona que posea la titularidad de los datos personales o en el caso de la persona menor de edad, para su representante legal.

SECCIÓN II. DERECHOS DE LA PERSONA ANTE EL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO 12.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta ley.

Se reconoce la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones y datos concernientes a cada persona, cuya titularidad sobre los datos es exclusiva e irrenunciable. Este derecho es la manifestación de la protección a la intimidad, en el ámbito del tratamiento de datos personales, evitando que se propicien acciones discriminatorias o usos inadecuados de los mismos.

ARTÍCULO 13.- Consentimiento informado

Cuando se soliciten datos de carácter personal, la persona titular de los datos tiene derecho a ser informada de modo expreso, preciso e inequívoco de la posible recopilación y procesamiento de sus datos personales, como mínimo sobre los siguientes aspectos:

a) La existencia de una base de datos personales.

b) Las categorías de datos personales contenidas en la base.

c) Los fines que se persiguen con la recolección de estos datos y la base jurídica del tratamiento.

d) Los destinatarios de la información, así como de quiénes podrán consultarla.

e) El carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.

f) El tratamiento que se dará a los datos solicitados.

g) Las consecuencias de la negativa a suministrar los datos.

h) La posibilidad de ejercer los derechos que le asisten.

i) La identidad y datos de contacto del responsable de la base de datos.

j) El plazo durante el cual se conservarán los datos personales.

k) El derecho a presentar una reclamación ante las autoridades correspondientes.

l) La existencia o no de decisiones automatizadas, incluida la elaboración de perfiles.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible. No obstante, dependiendo del mecanismo utilizado para la recolección del Consentimiento Informado, la Autoridad de Protección de Datos Personales podrá autorizar formas simplificadas respecto de los contenidos de los aspectos señalados, siempre cuando la información quede a disposición del interesado, en el momento que éste haga requerimiento de la misma.

ARTÍCULO 14.- Otorgamiento del consentimiento

Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar en forma expresa, ya sea en un medio físico o electrónico. El consentimiento podrá ser revocado en cualquier momento, sin efecto retroactivo.

ARTÍCULO 15.- Excepciones al consentimiento informado

No será necesario el consentimiento expreso:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

c) Para la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) Para el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, o para la adecuada prestación de servicios públicos, siempre que los datos se hayan anonimizado previamente y no exista riesgo de que las personas sean identificadas.

e) Cuando el tratamiento sea necesario para la ejecución de un contrato solicitado por la persona titular. O bien, para la aplicación de un contrato en el que el interesado es parte.

f) Cuando es necesario el tratamiento para proteger intereses vitales de la persona interesada o de otra persona física, si la persona interesada no está capacitada, física o jurídicamente, para dar su consentimiento.

g) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Se prohíbe en todo caso el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

ARTICULO 16. – Condiciones aplicables al consentimiento de la persona menor de edad en relación con los servicios de la sociedad de la información

Cuando se apliquen los principios relativos al consentimiento informado en relación con la oferta directa a personas menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales de una persona menor de edad se considerará lícito cuando tenga como mínimo 15 años. Si es menor de 15 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo autorizó el titular de la patria potestad o tutela sobre el niño o la niña, y solo en la medida en que se dio o autorizó.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño o la niña, teniendo en cuenta la tecnología disponible.

ARTÍCULO 17.- Excepciones a la Autodeterminación Informativa

Los derechos y las garantías establecidos en esta ley podrán ser limitados en las siguientes circunstancias:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

ARTÍCULO 18.- Derecho de acceso a los datos personales

Las personas usuarias deberán tener derecho de acceso a los datos recopilados, el propósito del procesamiento y a conocer quiénes los procesarán en cualquier momento. La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

La persona responsable del tratamiento de los datos debe facilitar la información que la persona solicite, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

Las entidades deben brindar su información de contacto y una dirección de correo electrónico a las personas usuarias para que estas puedan comunicarse con ellos en caso de que existan problemas.

El derecho de acceso a la información personal garantiza las siguientes facultades de la persona interesada:

a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, lo siguiente: confirmación o no de la existencia de datos suyos en archivos o bases de datos, el propósito por el que se procesan, destinatarios o personas autorizadas, origen de la recolección de datos, categoría de datos procesados, plazo previsto de conservación, si los datos están siendo utilizados para la toma de decisiones automáticas o si los mismos están siendo transmitidos a terceros países.

b) En caso de que existan datos o información relativa a su persona, estos le deberán ser comunicados y brindados en forma precisa, entendible, de fácil acceso y con lenguaje simple y claro. Además, la persona interesada también podrá saber la finalidad con que fueron recopilados los datos y el uso que se les ha dado, bien hayan sido recopilados de manera directa o a través de terceros. El informe deberá ser completo y exento de codificaciones. Deberá estar acompañado de una aclaración de los términos técnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

ARTÍCULO 19.- Derecho a la explicación

Las personas interesadas tienen derecho a una explicación sobre las lógicas y mecanismos empleados, además de los fines y las consecuencias, para el procesamiento automatizado de los datos personales que hayan sido recopilados.

Dentro de esta explicación estará incluido todo algoritmo cuyo diseño o programación pueda tener un impacto en el destino o uso de los datos recopilados, y de ser solicitado será incluido dentro de los reportes requeridos por las personas usuarias sobre el tratamiento de sus datos.

ARTÍCULO 20.- Derecho de oposición

La persona usuaria podrá oponerse al procesamiento de sus datos personales, si no ha mediado su consentimiento para ello, o no lo ha expresado o aceptado por escrito de forma física o digital. En cualquier momento, el titular de los datos personales puede oponerse a la utilización de sus datos para la toma de decisiones automáticas, parcialmente automáticas o fines de mercadotecnia directa, incluido el análisis de perfiles.

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, con la excepciones que por efecto de esta ley resulten de aplicación.

ARTÍCULO 21. – Derecho a la limitación del tratamiento

La persona interesada podrá solicitar del responsable la suspensión de todo tratamiento de sus datos personales, reservando los mismos en el estado que se encontraban al momento de surgir los hechos objeto de la solicitud, cuando se cumpla alguna de las siguientes condiciones:

a) La persona interesada impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.

b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesita los datos personales para los fines del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

ARTÍCULO 22.- Derecho de rectificación

La persona interesada tendrá el derecho de obtener la rectificación o actualización de sus datos personales, cuando los datos en poder del responsable del tratamiento estén incompletos, desactualizados o sean inexactos.

Dicha rectificación o actualización puede ser solicitada en cualquier momento por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o las personas sin capacidad volitiva o cognoscitiva.

En el caso de datos de personas fallecidas, les corresponderá este derecho a sus          sucesores o herederos.

ARTÍCULO 23.- Derecho de supresión

La persona interesada tiene derecho a la supresión de sus datos y cualquier información vinculada a su persona al momento en que suspenda el uso de un servicio o aplicación que haya originado la recopilación de los datos. El responsable del tratamiento deberá garantizar la confidencialidad respecto a esa información posterior a la eliminación. Igual derecho tendrá, cuando hayan sido recopilados sin su autorización.

El derecho de supresión no podrá ser ejercido cuando el tratamiento de los datos sea necesario para ejercer el derecho a la libertad de expresión, la libertad de prensa e información, lo cual incluye las expresiones periodísticas, académicas, artísticas o literarias, de archivo o de investigación científica.

Dicha supresión puede ser solicitada por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o sin capacidad volitiva o cognoscitiva. En el caso de datos de personas fallecidas, les corresponderá este derecho a sus sucesores o herederos.

Igualmente, la persona interesada podrá solicitar la supresión de sus datos personales, cuando medie y legalmente proceda, el retiro del consentimiento informado otorgado al efecto del tratamiento.

ARTÍCULO 24.- Derecho a la portabilidad

Las personas titulares de los datos podrán solicitar el traslado de sus datos personales, o parte de ellos, hacia la base de otra empresa, plataforma o ente prestador de servicios cuando sea técnicamente posible, posibilidad que determinará la autoridad competente. Para ello se deberán salvaguardar los principios y derechos reconocidos en esta ley.

ARTÍCULO 25.- Autorización para la transferencia de datos

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

SECCIÓN III. CATEGORÍAS PARTICULARES DE DATOS PERSONALES

ARTÍCULO 26.- Prohibición del tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual de una persona física o cualquier otro dato sensible.

ARTÍCULO 27.- Circunstancias de no aplicabilidad de la prohibición de tratamiento de datos sensibles

El artículo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:

a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando en la legislación costarricense se establezca que la prohibición mencionada no puede ser levantada por el interesado;

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, de la seguridad social o ayudas sociales, en la medida en que así lo autorice el marco normativo costarricense y establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

f) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

g) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación costarricense, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

h) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

ARTÍCULO 28.- Datos personales de acceso restringido

Los datos de acceso restringido son todos aquellos datos personales de índole privado que no sean considerados sensibles. Son susceptibles de ser tratados en los términos que esta ley especifica. Si bien estos datos podrían formar parte de bases datos de la Administración Pública o de fuentes de acceso público, no por ello son considerados de acceso irrestricto, debido a que son de interés únicamente para su titular o para la Administración Pública.

SECCIÓN IV. SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

ARTÍCULO 29.- Seguridad de los datos por diseño y por defecto

La persona responsable de la base de datos deberá adoptar las políticas internas y tomar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cumplir con los principios de esta ley y evitar cualquier acción contraria a la misma.

Dichas políticas y medidas se tomarán desde el diseño y el desarrollo de cualquier aplicación, servicio o producto basado en el tratamiento de datos personales o que tratan datos personales para cumplir su función, y deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual para garantizar la protección de la información almacenada.

Además, deberán reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento y permitir a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.

No se registrarán datos personales en bases que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas. Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos. Estos principios se tendrán en cuenta para el tratamiento de datos tanto a nivel privado como público, sea o no con fines de lucro.

ARTÍCULO 30.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevada del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

ARTÍCULO 31.- Estudios de impacto

Para aquellas operaciones de tratamiento de datos que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que podrían afectar a un gran número de interesados o podrían entrañar un alto riesgo, sea por su alcance, por la sensibilidad de los datos a tratar o por la dificultad para los interesados de hacer cumplir sus derechos, deberá realizarse previamente un estudio de impacto del tratamiento de datos por parte de la persona responsable del tratamiento.

El estudio de impacto deberá valorar la probabilidad y alcance de los riesgos, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Además debe incluir las medidas, garantías y mecanismos previstos para mitigar dichos riesgos, garantizar la protección de los datos personales y demostrar la conformidad con la presente ley.

Las características específicas de dichos estudios serán determinadas vía reglamento. La Autoridad de Protección de Datos determinará cuáles operaciones de tratamiento de datos requerirán dichos estudios al momento de su registro.

ARTÍCULO 32.- Protocolos de actuación

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, deberán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, “iuris tantum”, el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

ARTÍCULO 33.- Vulneración de Datos Personales.

El responsable deberá informar tanto al titular como a la PRODHAB, sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, pérdida de los mismos, destrucción, extravío, alteración o similares, como consecuencia de una vulnerabilidad de la seguridad de la cual entrará en conocimiento, para lo cual tendrá cinco días hábiles a partir del momento en que se conoció la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

La información mínima que deberá proveerse será:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata y las que serán tomadas;

d) Los medios o el lugar, donde puede obtener más información al respecto.

ARTÍCULO 34.- Persona Delegada de Protección de Datos

Si la Autoridad de Protección de Datos determina que la operación de tratamiento presenta altos riesgos para la integridad de los datos personales, el responsable del tratamiento deberá designar a una persona delegada de protección de datos.

Dicha persona delegada velará por el cumplimiento legal de la normativa atinente y deberá contar con capacidades y competencias profesionales para responder ante las autoridades. El rol podrá ser asumido por una persona a lo interno de la institución u organización, o por un tercero.

Reglamentariamente se establecerán los requisitos para las personas delegadas, así como los criterios para definir en qué operaciones de tratamiento será necesaria su existencia.

ARTÍCULO 35.- Códigos de conducta

La Agencia de Protección de Datos de los Habitantes, el gobierno central, las instituciones públicas, entes gremiales, asociaciones y empresas privadas, deberán promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación de la presente Ley, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas, las pequeñas y medianas empresas.

ARTÍCULO 36.- Garantías efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

CAPÍTULO III. AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (PRODHAB)

SECCIÓN I. DISPOSICIONES GENERALES

ARTÍCULO 37.- Agencia de Protección de Datos de los Habitantes (Prodhab)

Se crea la Agencia de Protección de Datos de los Habitantes (PRODHAB), como un órgano adscrito al Poder Legislativo de la República y que desempeñará sus funciones con absoluta independencia funcional, administrativa, técnica, presupuestaria y de criterio. Tendrá personalidad jurídica propia en el desempeño de las funciones que le asigna esta ley.

ARTÍCULO 38.- Atribuciones

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales.

Esta atribución se aplicará para los casos concretos presentados ante la Agencia y cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información y, para la realización de investigaciones sobre la aplicación de la presente ley.

e) Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.

f) Ordenar, de oficio o a petición de parte, el acceso, rectificación, supresión, explicación, portabilidad, olvido u oposición, en el tratamiento de las informaciones contenidas en los archivos y las bases de datos, cuando éstas contravengan las normas sobre protección de los datos personales.

g) Imponer las sanciones establecidas, en esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.

h) Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.

i) Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

k) Brindar asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley, tanto a entes del sector público como el privado, para lo cual quedará habilitada a la venta de servicios, cuyo costo se establecerá mediante un tarifario de publicación y actualización periódica. Los precios de dicho tarifario deberán demostradamente estar acordes con los valores del mercado.

En el ejercicio de sus atribuciones, la Prodhab podrá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

ARTÍCULO 39.- Dirección de la Agencia

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función, ser de reconocida solvencia profesional y moral, y tener comprobada experiencia y conocimiento en la materia de protección de datos personales.

El término de su nombramiento será por un período de hasta 4 años. En caso de declararse la vacancia, según lo dispuesto en este capítulo, la designación de la persona sustituta no podrá hacerse por un término mayor al que faltare para completar el período respectivo. Podrá ser reelecta por una única ocasión de forma continua.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

ARTÍCULO 40.- Proceso de nombramiento de la Dirección

La persona directora será nombrada por la Asamblea Legislativa. Para dicho nombramiento, la Asamblea anunciará el concurso de forma pública y podrá recibir postulaciones de cualquier persona que cumpla con los requisitos establecidos en esta Ley. La Comisión de Nombramientos definirá un procedimiento para estudiar dichas postulaciones, el cual deberá garantizar el cumplimiento de dichos requisitos, además de determinar mediante calificaciones objetivas la idoneidad y conocimiento de las diferentes personas candidatas. Al concluir dicho procedimiento, recomendará una terna de personas postulantes al Plenario.

El Plenario Legislativa elegirá, mediante votación pública y con mayoría absoluta, a la persona que dirigirá a la Prodhab. El Plenario podrá no apegarse a la recomendación emitida por la Comisión solamente de entre las personas postulantes.

ARTICULO 41.- Juramentación.

La persona directora de la Prodhab debe rendir el juramento previsto en el artículo 194 de la Constitución Política ante el Plenario de la Asamblea antes de iniciar sus labores en el cargo.

ARTICULO 42.- Causas de cesación.

La persona directora de la Prodhab de la República cesará en sus funciones, por cualquiera de las siguientes causales:

a) Renuncia a su cargo.

b) Muerte o incapacidad sobreviniente

c) Negligencia notoria o por violaciones graves al ordenamiento jurídico en el cumplimiento de los deberes de su cargo

d) Incurrimiento en cualquiera de las incompatibilidades previstas en esta Ley

e) Haber sido condenado, en sentencia firme, por delito cometido en forma dolosa.

La Asamblea Legislativa debe declarar vacante el cargo de la Dirección Nacional de la Prodhab, cuando se presente una de las causales previstas en los incisos a), b), d) y e) del presente artículo.

En el caso del inciso c), la Presidencia Legislativa nombrará una Comisión que le dará audiencia a la persona directora e informará a la Asamblea Legislativa, el resultado de la investigación, en el término de quince días hábiles.

ARTÍCULO 43.- Dirección Adjunta

La Asamblea Legislativa nombrará una persona como Director o Directora Adjunta, de una lista de tres candidatos propuestos por la persona Directora Nacional, a más tardar un mes después de su nombramiento. Quien ocupe la Dirección Adjunta deberá reunir los mismos requisitos exigidos para el cargo titular y estará sometido a las mismas prohibiciones y disposiciones que esta ley impone a ese cargo.

La personas elegida en este cargo será colaborador directo del Director Nacional de la PRODHAB; cumplirá las funciones que éste le asigne y lo sustituirá en sus ausencias temporales.

ARTÍCULO 44.- Personal de la Agencia

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

ARTÍCULO 45.- Prohibiciones para las personas funcionarias

Todas las personas funcionarias de la Prodhab tendrán las siguientes prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento, o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.

b) Involucrarse, personal e indebidamente, en asuntos conocidos en el marco de las funciones de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.

d) En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

ARTÍCULO 46.- Presupuesto

El presupuesto de la Prodhab estará constituido por lo siguiente:

a) Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros Estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.

d) Lo generado por sus recursos financieros.

e) Lo generado por la venta de servicios de asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a gastos de capital de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley n.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de septiembre de 2001.

Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

SECCIÓN II. REGISTRO DE ARCHIVOS Y BASES DE DATOS

ARTÍCULO 47.- Registro de archivos y bases de datos

Toda base de datos, pública o privada, debe inscribirse en el registro que al efecto habilite la Prodhab, exceptuando aquellas sin fines comerciales administradas por personas físicas. La inscripción no implica el traspaso o la transferencia de los datos.

La Prodhab definirá, al momento del registro y de acuerdo a la envergadura, características y riesgos del tratamiento de datos que se realizará, si la persona responsable de la base de datos deberá cumplir, y en qué medida, con lo dispuesto en el capítulo II, Sección IV de esta Ley, respecto a Estudios de impacto, Protocolo de Actuación y la Persona Delegada de protección de datos. Los criterios y plazos para dicho cumplimiento se establecerán en lineamientos que al respecto confeccionará y revisará periódicamente la Prodhab.

CAPÍTULO V. PROCEDIMIENTOS

SECCIÓN I. NORMAS DE PROCEDIMIENTO

ARTÍCULO 48.- Legitimación para denunciar

Cualquier persona, grupo de personas u organismos debidamente habilitados para representar personas que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada se encuentra en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

ARTÍCULO 49.- Trámite de las denuncias

Todo procedimiento ordinario se regirá por el Libro Segundo de la Ley General de la Administración Pública, sin perjuicio de las regulaciones específicas que se puedan establecer vía el reglamento.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona o del grupo de personas interesadas, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

ARTÍCULO 50.- Efectos de la resolución estimatoria

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

SECCIÓN II. RÉGIMEN SANCIONATORIO

ARTÍCULO 51.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si un tratamiento de datos personales regulado por esta ley está siendo empleado de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario.

ARTÍCULO 52.- Faltas leves

Las faltas leves, señaladas en este artículo, se sancionarán con multas administrativas de hasta de diez salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República como máximo o, si se trata de una empresa, con una multa equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones indicadas en esta ley.

b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

ARTÍCULO 53.- Faltas graves

Las faltas graves, señaladas en este artículo, se sancionarán con multas administrativas de entre diez y cuarenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

d) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Artículo 54. – Faltas gravísimas

Las faltas gravísimas, señaladas en este artículo, se sancionarán con multas administrativas de entre treinta y sesenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas gravísimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.

b) Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

c) Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

d) Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.

f) Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

Artículo 55.- Criterios para establecer la sanción

Para tomar una determinación sancionatoria, el tipo de sanción y su cuantía, la Prodhab deberá considerar los siguientes criterios, sin perjuicio de valorar las infracciones de manera acumulativa:

a. Naturaleza de la infracción: número de personas afectadas, daños sufridos, duración de la infracción y propósito del procesamiento, infracción leve, grave o gravísima.

b. Intención: si la infracción es intencional o debido a negligencia

c. Mitigación: acciones tomadas para mitigar el daño a las personas interesadas

d. Medidas preventivas: cuánta preparación técnica y organizativa había implementado previamente la empresa para evitar el incumplimiento

e. Reincidencia: Posibles infracciones anteriores, incluido advertencias y multas relacionadas a similares u otras infracciones en área de seguridad digital, privacidad y protección de datos.

f. Cooperación: cuán cooperativa ha sido la empresa con la autoridad supervisora para remediar la infracción.

g. Tipo de datos afectados: qué tipos de datos impactado por la infracción.

h. Notificación: si la infracción fue notificada proactivamente a la autoridad supervisora por la propia empresa o un tercero.

SECCIÓN III. PROCEDIMIENTOS INTERNOS

ARTÍCULO 56.- Régimen sancionatorio para bases de datos públicas

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPÍTULO VI. CÁNONES

ARTÍCULO 57.- Canon por regulación y administración de bases de datos

Las bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 41 de esta ley, estarán sujetas a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de trescientos dólares ($300), moneda de curso legal de los Estados Unidos de América, canon que se actualizará anualmente con base en el índice de valuación determinado por el comportamiento de la tasa de inflación (índice de precios al consumidor que calcula la Dirección General de Estadística y Censos).

Podrán eximirse del pago de este canon aquellas bases de datos utilizadas a lo interno de empresas o instituciones públicas, cuando sean utilizadas con fines exclusivamente administrativos y sin fines de comercialización, y así se demuestre ante la Prodhab.

También podrán eximirse de dicho pago las bases de datos utilizadas por organizaciones sin fines de lucro (como fundaciones, sindicatos, asociaciones, organizaciones religiosas, entre otras), cuando demuestren que la finalidad de la base no es de ninguna índole comercial o de lucro.

La exención de este pago no les excluye del cumplimiento de esta ley en todos sus alcances, incluidos los pagos producto de infracciones a la Ley. Quedan a salvo aquellas excepciones que se puedan aplicar puntualmente. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

ARTÍCULO 58.- Canon por comercialización de consulta

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso l) del artículo 4 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

CAPÍTULO VI. TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES

SECCIÓN ÚNICA. DE LAS TRANSFERENCIAS

ARTÍCULO 59.- Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones de la presente Ley, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

ARTÍCULO 60.- Transferencias basadas en un procedimiento de adecuación

Podrá realizarse una transferencia de datos personales a un tercer país u                     organización internacional cuando la PRODHAB, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

Al evaluar la adecuación del nivel de protección, la PRODHAB tendrá en cuenta, en particular, los siguientes elementos:

a) El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; y,

b) La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros,

ARTÍCULO 61.- Transferencias mediante garantías adecuadas

A falta de una autorización de la PRODHAB, por vía de un Procedimiento de Adecuación, el responsable o el encargado del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas podrán ser aportadas, por:

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) Convenios empresariales suscritos que expresamente reconozcan todos los derechos y obligaciones establecidos en la presente Ley, y se sujeten a la competencia de la Agencia de Protección de Datos de los Habitantes, para la debida protección de los datos personales en todos los alcances previstos por la presente normativa, respecto del tratamiento realizado fuera del ámbito de competencia territorial.

Esta norma aplicará en igual sentido, bajo el concepto de Grupo de Interés Económico, en los términos que establece la presente Ley.

ARTÍCULO 62.- Excepciones para situaciones específicas

En ausencia de una autorización producto de un Procedimiento de Adecuación o de Garantías Adecuadas, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) La transferencia sea necesaria por razones de interés público comprobado consistentemente;

e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento

TRANSITORIOS

TRANSITORIO I.

Las personas físicas o jurídicas, públicas o privadas, propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos, protocolos, contenidos de bases de datos y reglas de actuación a lo estipulado en la presente reforma, en un plazo máximo de un año.

TRANSITORIO II.

El Poder Ejecutivo adecuará el reglamento a la Ley nº 8968 previamente existente de acuerdo a los lineamientos establecidos en la presente reforma, en un plazo máximo de seis meses después de su entrada en vigencia, recogiendo las recomendaciones técnicas y legales que la Prodhab le proporcione.

TRANSITORIO III.-

Por un período de 8 años a partir de la entrada en vigencia de esta Ley, la Asamblea Legislativa dispondrá que se otorgue al menos un 5% de crecimiento anual a las transferencias que realiza el Estado a la Agencia, con el objetivo de fortalecer su labor de fiscalización, de realización de auditorías de oficio y de cobro de multas por infracciones a Ley nº 8968.

Rige a partir de su publicación.

ENRIQUE SÁNCHEZ CARBALLO

CATALINA MONTERO GÓMEZ

WELMER RAMOS GONZÁLEZ

LUIS RAMÓN CARRANZA CASCANTE

PAOLA VIVIANA VEGA RODRÍGUEZ

CAROLINA HIDALGO HERRERA

NIELSEN PÉREZ PÉREZ

LAURA GUIDO PÉREZ

MARIO CASTILLO MÉNDEZ

VICTOR MANUEL MORALES MORA

08May/21

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, …

Sancionan con fuerza de Ley

LEY DE PROTECCIÓN DE LOS DATOS PERSONALES

Capítulo 1. Disposiciones generales

ARTÍCULO 1°

Objeto. La presente ley tiene por objeto la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la CONSTITUCIÓN NACIONAL y los tratados de derechos humanos en los que la REPÚBLICA ARGENTINA sea parte.

ARTÍCULO 2°

Definiciones. A los fines de la presente ley se entiende por:

Autoridad de control: órgano que debe velar por el cumplimiento de los principios y procedimientos de la presente ley de acuerdo a lo establecido en el Capítulo 7.

– Base de datos: conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente se la puede denominar también archivo, registro, fichero o banco de datos.

– Datos personales: información de cualquier tipo referida a personas humanas determinadas o determinables, inclusive los datos biométricos. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Se entenderá por datos biométricos aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única. Se entenderá por datos genéticos los relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica.

Datos sensibles: datos personales que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical o política, información referente a la salud, preferencia o vida sexual.

Disociación de datos: el procedimiento que se aplica sobre los datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. No será considerada persona determinable cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.

Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate datos personales por cuenta del responsable del tratamiento.

– Fuente de acceso público irrestricto: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, accesible ya sea en forma gratuita o mediante una contraprestación.

Fuente de acceso público restricto: la que contiene información que no está sujeta a confidencialidad ni tampoco está destinada a ser difundida irrestrictamente al público y cuyo acceso a terceros resulta generalmente condicionado al cumplimiento de ciertos requisitos.

– Grupo económico: sociedades controlantes, controladas y aquellas vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.

Incidente de seguridad de datos personales: hecho ocurrido en cualquier fase del tratamiento que implique la pérdida o destrucción no autorizado, el robo, extravío o copia no autorizada, el uso, acceso o tratamiento de datos no autorizado, o el daño, alteración o modificación no autorizada.

Responsable del tratamiento: persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.

Tercero: la persona humana o jurídica, pública o privada, distinta del titular de los datos, del responsable del tratamiento, del encargado del tratamiento o de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Titular de los datos: la persona humana cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

Tratamiento de datos: cualquier operación o procedimiento organizado, electrónico o no, que permita la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo o destrucción y, en general, el procesamiento de datos personales, así como también su cesión a través de comunicaciones, consultas, interconexiones o transferencias.

ARTÍCULO 3°

Excepciones a la aplicación de la ley. Queda exceptuado de los alcances de la presente ley el tratamiento de datos que efectúe una persona humana para su uso exclusivamente privado o de su grupo familiar.

La aplicación de la presente ley en ningún caso podrá afectar el secreto de las fuentes de información periodísticas. Tampoco podrá afectar al tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión.

ARTÍCULO 4°

Ámbito de aplicación. Las normas de la presente ley serán de aplicación cuando:

a) el responsable del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b) el responsable del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional;

c) el tratamiento de datos de titulares que residan en la REPÚBLICA ARGENTINA sea realizado por un responsable del tratamiento que no se encuentre establecido en el territorio nacional y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de los datos en la REPÚBLICA ARGENTINA, o con el seguimiento de sus actos, comportamientos o intereses.

Capítulo 2. Principios relativos al tratamiento de datos

ARTÍCULO 5º

Principio de licitud, lealtad y transparencia. Los datos personales deben ser tratados de manera lícita, leal y transparente. El tratamiento se considera leal cuando el responsable se abstenga de tratar los datos personales a través de medios engañosos o fraudulentos.

ARTÍCULO 6º

Principio de finalidad. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con dichos fines.

No se considerarán incompatibles con los fines iniciales tanto el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, como tampoco el tratamiento de datos con fines que pudieron ser, de acuerdo al contexto, razonablemente presumidos por el titular de los datos.

ARTÍCULO 7º

Principio de minimización de datos. Los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados.

ARTÍCULO 8º

Principio de exactitud. Los datos personales deben ser tratados de modo que sean exactos y completos. Si fuera necesario adecuarlos, se adoptarán todas las medidas razonables para que se supriman o rectifiquen.

ARTÍCULO 9º

Limitación del plazo de conservación. Los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. Los datos personales pueden conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone la presente ley a fin de proteger los derechos del titular de los datos.

ARTÍCULO 10.- Principio de responsabilidad proactiva. El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

ARTÍCULO 11.- Licitud del tratamiento de datos. El tratamiento de datos es lícito sólo si se cumple al menos UNA (1) de las siguientes condiciones:

a) el titular de los datos dio su consentimiento para el tratamiento de sus datos para uno o varios fines específicos conforme lo dispuesto en los artículos 12, 13 y 14;

b) el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público irrestricto;

c) el tratamiento de datos se realice en ejercicio de funciones propias de los poderes del Estado y sean necesarios para el cumplimiento estricto de sus competencias;

d) el tratamiento de datos sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

e) el tratamiento de datos derive de una relación jurídica entre el titular de los datos y

el responsable del tratamiento, y resulte necesario para su desarrollo o cumplimiento;

f) el tratamiento de datos resulte necesario para salvaguardar el interés vital del titular de los datos o de terceros, y el titular de los datos esté física o jurídicamente incapacitado para dar su consentimiento;

g) el tratamiento de datos sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente.

Lo dispuesto en el inciso g) no será de aplicación al tratamiento de datos realizado por las autoridades públicas en el ejercicio de sus funciones.

ARTÍCULO 12

Consentimiento. El tratamiento de datos, en cualquiera de sus formas, requiere del consentimiento libre e informado de su titular para una o varias finalidades específicas.

El consentimiento puede ser obtenido de forma expresa o tácita.

La forma del consentimiento depende de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.

El consentimiento expreso, de acuerdo a las circunstancias particulares del tratamiento de datos del que se trate, puede ser obtenido por escrito, verbalmente, por medios electrónicos, así como por cualquier forma similar que la tecnología permita brindar. Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

El consentimiento tácito es admitido cuando surja de manera manifiesta del contexto

del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización. Es admisible únicamente cuando los datos requeridos sean necesarios para la finalidad que motiva la recolección y se haya puesto a disposición del titular de los datos la información prevista en el artículo 15, sin que éste manifieste su oposición. El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección. En ningún caso procede para el tratamiento de datos sensibles.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

ARTÍCULO 13

Revocación del consentimiento. El consentimiento puede ser revocado en cualquier momento. Dicha revocación no tiene efectos retroactivos. El responsable del tratamiento está obligado a facilitar la revocación mediante mecanismos sencillos, gratuitos y, al menos, de la misma forma por la que obtuvo el consentimiento.

ARTÍCULO 14

Excepciones al consentimiento previo. No es necesario el consentimiento para el tratamiento de datos cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento, domicilio y correo electrónico.

El titular de los datos podrá oponerse a dicho tratamiento conforme el artículo 30 de la presente ley.

ARTÍCULO 15

Información al titular de los datos. El responsable del tratamiento debe brindar al titular de los datos, antes de la recolección, al menos, la siguiente información:

a) las finalidades del tratamiento de datos a las que se destinarán los datos personales recolectados;

b) la identidad y los datos de contacto del responsable del tratamiento;

c) los medios para ejercer los derechos previstos en esta ley;

d) en su caso, las cesiones o transferencias internacionales de datos que se efectúen o se prevea efectuar;

e) el carácter obligatorio o facultativo de proporcionar los datos personales y las consecuencias de proporcionarlos, o de la negativa a hacerlo, o de hacerlo en forma incompleta o defectuosa;

f) el derecho del titular de los datos a revocar el consentimiento;

g) el derecho a presentar una denuncia, a iniciar el trámite de protección de datos personales ante la autoridad de control, o a ejercer la acción de habeas data en caso de que el responsable o el encargado del tratamiento incumpla con la presente ley.

ARTÍCULO 16

Tratamiento de datos sensibles. Se prohíbe el tratamiento de datos sensibles, excepto cuando:

a) el titular de los datos haya dado su consentimiento expreso a dicho tratamiento, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

b) sea necesario para salvaguardar el interés vital del titular de los datos y éste se encuentre física o legalmente incapacitado para prestar el consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

c) sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico de acuerdo a lo establecido por la Ley de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud nº 26.529;

d) se realice en el marco de las actividades legítimas que realice una fundación, asociación o cualquier otro organismo sin fines de lucro, cuyo objeto principal sea una actividad política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o beneficiarios o a las personas que mantengan un contacto regular por razón de su objeto principal;

e) se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

f) tenga una finalidad histórica, estadística o científica. En estos dos últimos casos, debe adoptarse un procedimiento de disociación de datos;

g) se refiera a datos personales que el interesado haya hecho manifiestamente públicos;

h) sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular de los datos en el ámbito del Derecho laboral y de la seguridad y protección social;

i) sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

j) se realice en el marco de asistencia humanitaria en casos de desastres naturales.

ARTÍCULO 17

Tratamiento de antecedentes penales y contravencionales. El tratamiento de datos relativos a antecedentes penales o contravencionales con el objeto de brindar informes a terceros sólo puede ser realizado por parte de las autoridades públicas competentes o bajo su supervisión.

El empleador que conserve un certificado, documento o información de antecedentes penales o contravencionales de sus empleados no puede cederlo a terceros, salvo con el consentimiento expreso del titular de los datos.

ARTÍCULO 18

Tratamiento de datos de niños, niñas y adolescentes. En el tratamiento de datos personales de un niño, niña o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la CONVENCIÓN SOBRE LOS DERECHOS DEL NIÑO y demás instrumentos internacionales que busquen su bienestar y protección integral.

Es válido el consentimiento de un niño, niña o adolescente cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos para ellos. En estos casos, el consentimiento es lícito si el niño, niña o adolescente tiene como mínimo TRECE (13) años. Si el niño es menor de TRECE (13) años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental o tutela sobre el niño, y sólo en la medida en que se dio o autorizó.

El responsable del tratamiento debe realizar esfuerzos razonables para verificar, en tales casos, que el consentimiento haya sido otorgado por el titular de la responsabilidad parental o tutela sobre el niño, niña o adolescente, teniendo en cuenta sus posibilidades para hacerlo.

ARTÍCULO 19

Principio de seguridad de los datos personales. El responsable del tratamiento y, en su caso, el encargado, deben adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

El responsable del tratamiento debe adoptar las medidas de seguridad aplicables a los datos personales que trate, considerando, al menos, los siguientes factores:

a) el riesgo inherente por el tipo de dato personal;

b) el carácter sensible de los datos personales tratados;

c) el desarrollo tecnológico;

d) las posibles consecuencias de un incidente de seguridad para los titulares de los datos;

e) los incidentes de seguridad previos ocurridos en los sistemas de tratamiento.

ARTÍCULO 20

Notificación de incidentes de seguridad. En caso de que ocurra un incidente de seguridad de datos personales, el responsable del tratamiento debe notificarlo a la autoridad de control sin dilación indebida y, de ser posible, a más tardar SETENTA Y DOS (72) horas después de que haya tenido constancia del incidente, a menos que sea improbable que dicho incidente de seguridad constituya un riesgo para los derechos de los titulares de los datos. Si la notificación a la autoridad de control no tiene lugar en el plazo de SETENTA Y DOS (72) horas, deberá ir acompañada de indicación de los motivos de la dilación.

De igual manera, el responsable del tratamiento también debe informar al titular de los datos sobre el incidente de seguridad ocurrido, en un lenguaje claro y sencillo,

cuando sea probable que entrañe altos riesgos a sus derechos.

La notificación debe contener, al menos, la siguiente información:

a) la naturaleza del incidente;

b) los datos personales que pueden estimarse comprometidos;

c) las acciones correctivas realizadas de forma inmediata;

d) las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;

e) los medios a disposición del titular de los datos para obtener mayor información al respecto.

El responsable del tratamiento debe documentar todo incidente de seguridad que ponga en alto riesgo los derechos de los titulares de los datos personales ocurrido en cualquier fase del tratamiento de datos e identificar, de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo del incidente, los hechos relacionados con éste y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva.

ARTÍCULO 21

Deber de confidencialidad. El responsable del tratamiento, el encargado y las demás personas que intervengan en cualquier fase del tratamiento de datos están obligados a la confidencialidad respecto de los datos personales. Tal obligación subsiste aun después de finalizada su relación con el titular de los datos, el responsable o el encargado del tratamiento, según corresponda.

El obligado puede ser relevado del deber de confidencialidad por resolución judicial.

ARTÍCULO 22

Cesión. Cuando el tratamiento de datos consiste en una cesión, el responsable del tratamiento a quien se ceden los datos personales queda sujeto a las mismas obligaciones legales y reglamentarias que el responsable cedente. Ambos responden por la observancia de aquéllas ante la autoridad de control y el titular de los datos de que se trate. En cualquier caso, podrán ser eximidos total o parcialmente de responsabilidad si demuestran que no se les puede imputar el hecho que ha producido el daño.

ARTÍCULO 23

Transferencia internacional. Toda transferencia internacional de datos personales es lícita si se cumple al menos UNA (1) de las siguientes condiciones:

a) cuente con el consentimiento expreso del titular de los datos;

b) el país u organismo internacional o supranacional receptor proporcione un nivel de protección adecuado;

c) se encuentre prevista en una ley o tratado en los que la REPÚBLICA ARGENTINA sea parte;

d) sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

e) sea efectuada a cualquier sociedad del mismo grupo económico del responsable del tratamiento, en tanto los datos personales sean utilizados para finalidades que no sean incompatibles con las que originaron su recolección;

f) sea necesaria en virtud de un contrato celebrado o por celebrar en interés inequívoco del titular de los datos, por el responsable del tratamiento y un tercero;

g) sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

h) sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

i) sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos;

j) sea efectuada en los casos de colaboración judicial internacional;

k) sea requerida para concretar transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

l) tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos y el narcotráfico;

m) el responsable del tratamiento transferente y el destinatario adopten mecanismos de autorregulación vinculante, siempre y cuando éstos sean acorde a las disposiciones previstas en esta ley;

n) se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales acordes con las disposiciones previstas en la presente ley.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

ARTÍCULO 24

Carácter adecuado del país u organismo receptor. Se entiende que un país u organismo internacional o supranacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente.

El nivel de protección proporcionado por un país u organismo internacional o supranacional será evaluado por la autoridad de control, a pedido de parte interesada o de oficio y atendiendo a todas las circunstancias que concurran en una transferencia internacional; en particular, las normas de derecho, generales o especiales, vigentes en el país u organismo internacional o supranacional de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad que resulten aplicables.

ARTÍCULO 25

Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales. A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

ARTÍCULO 26

Servicio de tratamiento de datos personales por medios tecnológicos tercerizados. El servicio de tratamiento de datos personales por medios tecnológicos tercerizados está permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos en la presente ley.

El responsable del tratamiento debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la presente ley. El responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor.

En especial, el responsable del tratamiento debe realizar esfuerzos razonables para controlar que el proveedor del servicio de tratamiento de datos personales por medios tecnológicos tercerizados:

a) cuente con una política de protección de datos personales o condiciones de

servicio que no sean incompatibles con las disposiciones previstas en la presente ley, y que su aplicación sea efectiva, y además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;

b) informe los tipos de subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;

c) no incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad.

Capítulo 3. Derechos de los titulares de los datos

ARTÍCULO 27

Derecho de acceso. El titular de los datos, previa acreditación de su identidad, tiene el derecho de solicitar y obtener el acceso a sus datos personales que sean objeto del tratamiento.

ARTÍCULO 28

Contenido de la información. La información debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

a) las finalidades del tratamiento de datos;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

d) el plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

f) el derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

g) cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 32 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos.

La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

ARTÍCULO 29

Derecho de rectificación. El titular de los datos tiene el derecho a obtener del responsable del tratamiento la rectificación de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

ARTÍCULO 30

Derecho de oposición. El titular de los datos puede oponerse al tratamiento de sus datos, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos del titular de los datos.

ARTÍCULO 31

Derecho de supresión. El titular de los datos tiene derecho a solicitar la supresión de sus datos personales de las bases de datos del responsable del tratamiento cuando el tratamiento no tenga un fin público, a fin de que los datos ya no estén en su posesión y dejen de ser tratados por este último.

La supresión procede cuando:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recolectados;

b) el titular de los datos revoque el consentimiento en que se basa el tratamiento de datos y éste no se ampare en otro fundamento jurídico;

c) el titular de los datos haya ejercido su derecho de oposición conforme al artículo 30, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

ARTÍCULO 32

Valoraciones personales automatizadas. El titular de los datos tiene derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa.

El titular de los datos no podrá ejercer este derecho si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento;

b) está autorizada por ley;

c) se basa en su consentimiento expreso.

En los casos a que se refieren los incisos a) y c), el responsable del tratamiento debe adoptar las medidas adecuadas para salvaguardar los derechos del titular de los datos; como mínimo, el derecho a obtener intervención humana por parte del responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión.

ARTÍCULO 33

Derecho a la portabilidad de datos personales. Si se brindan servicios en forma electrónica que incluyan el tratamiento de datos personales, el titular de los datos tiene derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento en un formato estructurado y comúnmente utilizado que le permita su ulterior utilización. El titular de los datos puede solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

Este derecho no procederá cuando:

a) su ejercicio imponga una carga financiera o técnica excesiva o irrazonable sobre el responsable o encargado del tratamiento;

b) vulnere la privacidad de otro titular de los datos;

c) vulnere las obligaciones legales del responsable o encargado del tratamiento;

d) impida que el responsable del tratamiento proteja sus derechos, su seguridad o sus bienes, o los derechos, seguridad y bienes del encargado del tratamiento, o del titular de los datos o de un tercero.

ARTÍCULO 34

Ejercicio de los derechos. El ejercicio de cualquiera de los derechos del titular de los datos no es requisito previo, ni impide el ejercicio de otro.

El responsable del tratamiento debe responder y, en su caso, satisfacer los derechos del titular de los datos dentro de los DIEZ (10) días hábiles de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si a juicio del titular de los datos, la respuesta se estimara insuficiente, quedará expedito el trámite de protección de los datos personales ante la autoridad de control en los términos del artículo 72 o, a elección del titular de los datos, podrá interponer la acción de habeas data prevista en el artículo 78 de la presente ley. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite de protección ante la autoridad de control.

El ejercicio de los derechos previstos en los artículos 27, 29, 30, 31, 32 y 33 en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

El responsable del tratamiento debe establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de los datos ejercer los derechos previstos en esta ley.

El derecho de acceso a que se refiere el artículo 27 sólo puede ser ejercido en forma gratuita a intervalos no inferiores a SEIS (6) meses, salvo que se acredite la existencia de nuevas razones que justifiquen el pedido antes del vencimiento del plazo.

ARTÍCULO 35

Abuso de derecho. El ejercicio abusivo de los derechos enumerados en este capítulo no se encuentra amparado. Se considera tal el que contraría los fines de la presente ley, el que excede los límites impuestos por la buena fe o el que imponga sobre el obligado una carga técnica o financiera irrazonable.

ARTÍCULO 36

Excepciones al ejercicio de los derechos. Los responsables del tratamiento de bases de datos públicas pueden, mediante decisión fundada, denegar los derechos enumerados en los artículos 27, 29, 30, 31, 32 y 33 en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

Capítulo 4. Obligaciones de los responsables y encargados del tratamiento

ARTÍCULO 37

Medidas para el cumplimiento de la responsabilidad proactiva. Las medidas adoptadas para el cumplimiento de las disposiciones de la presente ley deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

a) la adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad;

b) la implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

c) la realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

ARTÍCULO 38

Protección de datos desde el diseño y por defecto. El responsable del tratamiento debe aplicar medidas tecnológicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas tecnológicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas humanas.

ARTÍCULO 39

Tratamiento de datos por cuenta de terceros. La prestación de servicios de tratamiento de datos por cuenta de terceros entre un responsable y un encargado del tratamiento debe quedar formalizada mediante un contrato y no requiere del consentimiento del titular de los datos. El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aun para su conservación, salvo autorización expresa del responsable del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos, en cuyo caso sólo podrán conservarse por un máximo de DOS (2) años.

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente ley.

Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

ARTÍCULO 40

Evaluación de impacto relativa a la protección de datos personales. Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales.

La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a) evaluación sistemática y exhaustiva de aspectos personales de personas humanas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas humanas o que les afecten significativamente de modo similar;

b) tratamiento de datos sensibles a gran escala, o de datos relativos a antecedentes penales o contravencionales.

ARTÍCULO 41

Contenido de la evaluación de impacto. La evaluación debe incluir, como mínimo:

a) una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

c) una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso a);

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

ARTÍCULO 42

Informe previo. El responsable del tratamiento debe informar a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento de datos entrañaría un alto riesgo.

El informe a la autoridad de control debe incluir, como mínimo, la siguiente información:

a) las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente ley;

d) en su caso, los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos.

Cuando la autoridad de control considere que el tratamiento de datos previsto pueda infringir la presente ley, iniciará el procedimiento de verificación de oficio establecido en el artículo 73.

ARTÍCULO 43

Delegado de protección de datos. Los responsables y encargados del tratamiento deben designar un delegado de protección de datos en cualquiera de los siguientes supuestos:

a) cuando revistan el carácter de autoridades u organismos públicos;

b) se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento;

c) se realice tratamiento de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un delegado de protección de datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el delegado de protección de datos designado tendrá las funciones previstas en el artículo 44.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único delegado de protección de datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único delegado de protección de datos siempre que esté en contacto permanente con cada establecimiento.

La designación del delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.

Las funciones del delegado de protección de datos pueden ser desempeñadas por un empleado del responsable o encargado del tratamiento o en el marco de un contrato de locación de servicios. El delegado de protección de datos puede ejercer otras funciones siempre que no den lugar a conflictos de intereses.

En cualquier caso, el delegado debe ejercer sus funciones sin recibir instrucciones y sólo responde ante el más alto nivel jerárquico de la organización.

ARTÍCULO 44

Funciones del delegado de protección de datos. El delegado de protección de datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

a) informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

b) promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

c) supervisar el cumplimiento de la presente ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

d) asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

e) ofrecer el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

f) cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

ARTÍCULO 45

Mecanismos de autorregulación vinculantes. La autoridad de control alentará la elaboración de mecanismos de autorregulación vinculantes que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir los objetivos señalados.

Los responsables o encargados del tratamiento pueden adherirse, de manera voluntaria, a mecanismos de autorregulación vinculantes.

Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Capítulo 5. Registro Nacional “No Llame

ARTÍCULO 46

Registro Nacional “No Llame”. Créase, en el ámbito de la autoridad de control de la presente ley, el Registro Nacional “No Llame”.

ARTÍCULO 47

Objeto y principio rector. El objeto del registro establecido por el artículo 46 es proteger los datos personales de los titulares o usuarios autorizados de los servicios de telefonía, en cualquiera de sus modalidades, del contacto, publicidad, oferta, venta y regalo de bienes o servicios no solicitados.

Las situaciones contempladas y reguladas en el presente capítulo se deben interpretar en todos los casos teniendo en cuenta el requerimiento del titular o usuario.

ARTÍCULO 48

Servicios de telefonía. A los efectos del presente capítulo, se entenderá por “servicios de telefonía” los servicios de telefonía básica, telefonía móvil, servicios de radiocomunicaciones móvil celular, de comunicaciones móviles y de voz IP, así como cualquier otro tipo de servicio similar que la tecnología permita brindar en el futuro.

ARTÍCULO 49

Inscripción. Puede inscribirse en el Registro Nacional “No Llame” toda persona humana titular o usuaria autorizada del servicio de telefonía en cualquiera de sus modalidades que manifieste su voluntad de no ser contactada por quien publicite, oferte, venda o regale bienes o servicios, sin perjuicio de lo dispuesto en el artículo 61 de la presente ley.

ARTÍCULO 50

Gratuidad y simplicidad. La inscripción y baja en el Registro Nacional “No Llame” es gratuita y debe ser implementada por medios eficaces y sencillos. Los trámites de inscripción y baja sólo pueden ser realizados por el titular o usuario de la línea telefónica.

La baja puede ser solicitada en cualquier momento y debe tener efectos inmediatos.

ARTÍCULO 51

Sujetos obligados e inscripción. Quienes publiciten, oferten, vendan o regalen bienes o servicios mediante recursos propios o a través de empresas tercerizadas o subcontratadas, utilizando como medio de contacto los servicios de telefonía en cualquiera de sus modalidades, son considerados responsables del tratamiento de datos y sujetos obligados al cumplimiento de lo previsto en el presente capítulo.

También son sujetos obligados aquellos que por cuenta de terceros realicen el contacto telefónico, sin perjuicio de la responsabilidad de quien resulte el contratante de la campaña o beneficiario directo de ésta, resultando aplicables, en el caso de corresponder, las previsiones del artículo 22.

Los sujetos obligados que contraten campañas en el exterior con efectos en el país deben adoptar las medidas apropiadas para que quien lleve a cabo la campaña publicitaria desde el extranjero dé cumplimiento a las disposiciones de la presente. Cualquier incumplimiento será atribuido al contratante o beneficiario directo de la campaña.

Es responsable solidario el titular de la línea telefónica de la que provenga el contacto de publicidad, oferta, venta y regalo de bienes o servicios no solicitados si se tratara de persona distinta a las indicadas en los párrafos precedentes. El titular de la línea telefónica podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.

Los sujetos obligados no pueden dirigirse a ninguno de los inscriptos en el Registro Nacional “No Llame”.

Quienes realicen efectivamente el contacto telefónico deben:

a) consultar las inscripciones vigentes que figuren en el Registro Nacional “No Llame” con una periodicidad de no más de TREINTA (30) días, en la forma que disponga la autoridad de control;

b) estar inscriptos en un registro habilitado por la autoridad de control para la consulta en el Registro Nacional “No Llame” prevista en el inciso a); la autoridad de control establecerá el procedimiento para esa inscripción.

En caso de duda, debe interpretarse que no corresponde el contacto telefónico con quien se hubiera inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 52

Excepciones. Quedan exceptuadas de las disposiciones del presente capítulo:

a) las llamadas de quienes tienen una relación contractual vigente, siempre que se refieran al bien o servicio específico objeto del vínculo contractual;

b) las llamadas de quienes hayan sido expresamente permitidos por el titular o usuario autorizado de los servicios de telefonía en cualquiera de sus modalidades, inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 53

Condiciones de contacto. Los contactos telefónicos de publicidad, oferta, venta y regalo de bienes o servicios no solicitados deben realizarse desde un número visible por el identificador de llamadas u otra tecnología que posea el titular o usuario de la línea telefónica.

En todos los casos, los contactos telefónicos, incluso a personas no inscriptas en el Registro Nacional “No Llame” o bajo el amparo de alguna de las excepciones previstas en el artículo 52, deben ser realizadas en forma y horario razonables y de acuerdo a la reglamentación.

ARTÍCULO 54

Denuncias. El titular o usuario autorizado del servicio de telefonía en cualquiera de sus modalidades puede realizar la denuncia por incumplimiento del presente capítulo ante la autoridad de control dentro del plazo de UN (1) mes contado desde el momento del contacto.

ARTÍCULO 55

Incumplimientos. La autoridad de control iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones del presente capítulo, aplicando el procedimiento previsto en el artículo 72, párrafos tercero y cuarto. Verificada la existencia de la infracción, quienes la hayan cometido serán pasibles de las sanciones previstas en el artículo 76.

ARTÍCULO 56

Recepción de prueba. La autoridad de control, a los fines probatorios, tendrá en cuenta los elementos de hecho e indicios de carácter objetivos aportados por el denunciante que sustenten la situación fáctica debatida, quedando a cargo del denunciado acreditar que ha dado cumplimiento con las obligaciones establecidas en el presente capítulo.

A requerimiento de la autoridad de control, los sujetos obligados deberán brindar el registro de sus llamadas salientes provisto por la empresa prestadora del servicio de telecomunicaciones de la que fueran usuarios, quien lo debe proveer en un plazo máximo de DIEZ (10) días y en las condiciones que la autoridad de control disponga.

En el marco de un sumario administrativo por incumplimientos al presente capítulo, la autoridad de control podrá requerir en un plazo razonable informes a las empresas prestadoras del servicio de telecomunicaciones sobre:

a) la existencia del contacto telefónico cuestionado;

b) la información de la titularidad de una línea telefónica.

El incumplimiento de la requisitoria a que se refieren los párrafos segundo y tercero hará pasibles a las empresas prestadoras del servicio de telecomunicaciones de las sanciones previstas en el artículo 76, inciso b).

ARTÍCULO 57

Resolución. La autoridad de control dictará la resolución que corresponda dentro de los TREINTA (30) días de recibida la prueba y producidos los alegatos si corresponden. La autoridad de control podrá prorrogar este plazo cuando la complejidad del tema a resolver sea fundamento suficiente para esa prórroga.

La resolución de la autoridad de control podrá:

a) archivar la denuncia;

b) imponer una sanción en caso de que se hubiera verificado un incumplimiento al presente capítulo.

La resolución de la autoridad de control mencionada en el inciso b) agotará la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, la resolución será recurrible por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

Capítulo 6. Supuestos especiales

ARTÍCULO 58

Bases de datos públicas. La creación, modificación o supresión de bases de datos pertenecientes a autoridades u organismos públicos debe hacerse por medio de norma de alcance general, publicada en el Boletín Oficial o diario oficial.

Las normas respectivas, deben indicar:

a) órganos responsables de la base de datos, precisando dependencia jerárquica en su caso;

b) características y finalidad de los tratamientos de datos que se efectúen;

c) personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

d) procedimiento de obtención y actualización de los datos;

e) estructura básica de la base y la descripción de la naturaleza de los datos personales que contendrán;

f) las cesiones, transferencias o interconexiones previstas;

g) las oficinas ante las que se pudiesen efectuar el ejercicio de los derechos previstos en la presente ley.

En las normas que se dicten para la supresión de las bases de datos se debe establecer el destino de éstas o las medidas que se adopten para su destrucción.

ARTÍCULO 59

Tratamiento de datos por organismos de seguridad e inteligencia. Las bases de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia quedan sujetos a las disposiciones de la presente ley. Las Comisiones Bicamerales de FISCALIZACIÓN DE ORGANISMOS Y ACTIVIDADES DE INTELIGENCIA y de FISCALIZACIÓN DE ÓRGANOS Y ACTIVIDADES DE SEGURIDAD INTERIOR del CONGRESO DE LA NACIÓN y la COMISIÓN DE DEFENSA NACIONAL de la CÁMARA DE SENADORES DE LA NACIÓN, o las que las sustituyan, tienen acceso a las bases de datos mencionadas por razones fundadas y en aquellos aspectos que constituyan materia de competencia de tales comisiones.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia, cuando sea necesario realizar sin el consentimiento del titular, queda limitado a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos.

Se deben suprimir, aun si no medie solicitud del titular, los datos personales de las bases de datos mencionadas en el primer párrafo cuando no sean necesarios para los fines que motivaron su recolección.

ARTÍCULO 60

Prestación de servicios de información crediticia.

1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes de acceso público irrestricto o restricto, o procedentes de informaciones facilitadas por el titular de los datos o con su consentimiento.

2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

3. A solicitud del titular de los datos, el responsable o encargado del tratamiento debe comunicar a aquél en forma gratuita las informaciones, evaluaciones y apreciaciones que sobre él hayan sido comunicadas durante los últimos DOCE (12) meses y la fuente de la información, incluyendo nombre y domicilio, en caso de corresponder.

4. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos CINCO (5) años a contar desde la última información significativa. El plazo se reduce a UN (1) año cuando el deudor cancele o extinga la obligación, y a CUATRO (4) meses cuando la deuda sea igual o menor a UN (1) Salario Mínimo Vital y Móvil, a contar en ambos casos a partir de la fecha precisa en que se extingue la deuda.

5. Se considera información significativa:

a) el momento en que se produce la mora del deudor;

b) las distintas calificaciones que le otorgan al deudor las entidades financieras según normativa del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA;

c) el inicio de la acción judicial de cobro;

d) la sentencia judicial que dispone el pago de la deuda;

e) la fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente;

f) aquella otra información que defina el órgano de control.

6. No se considera última información significativa la asentada en una base de datos por el sólo hecho de ser la constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.

7. La prestación de servicios de información crediticia no requiere el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, o de su transferencia internacional, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

8. Las entidades financieras que obligatoriamente cedan información relativa al cumplimiento de obligaciones de contenido patrimonial al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, deben comunicar al titular de los datos la información a ceder al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Esta comunicación se debe efectuar cuando las obligaciones pasen de cumplimiento normal a incumplimiento, sin que se deba comunicar al deudor la continuidad de tal incumplimiento y/o el agravamiento de la calificación, y dentro de los DIEZ (10) días hábiles de producida la nueva calificación.

9. Esta obligación no afectará el cumplimiento del régimen informativo del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, en su carácter de autoridad de aplicación de la Ley de Entidades Financieras nº 21.526.

10. En caso de disconformidad con el contenido de la información comunicada conforme al párrafo precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Si el titular de los datos cumple con su obligación dentro de los DIEZ (10) días hábiles de notificado, las entidades financieras no podrán ceder la información del titular al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, quien no podrá difundirla al público.

11. Previo a ceder datos personales relativos al incumplimiento de obligaciones patrimoniales a responsables o encargados del tratamiento que prestan servicios de información crediticia, los cedentes deben comunicar al titular de los datos la información a ceder y sus cesionarios al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Los tratamientos de datos efectuados por el Estado quedan exceptuados de la notificación dispuesta en el presente apartado.

12. En caso de disconformidad con el contenido de la información a ceder conforme al apartado precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Una vez cursada dicha comunicación al titular de los datos, no se requiere una nueva para realizar otras cesiones referidas a la misma obligación. La información puede ser difundida por las empresas que prestan servicios de informes crediticios luego de transcurridos DIEZ (10) días hábiles de recibida la comunicación. Si el titular de los datos cumple con su obligación dentro de dicho plazo, no podrán cederse tales datos a las empresas que prestan servicios de información crediticia.

13. Las entidades financieras no están alcanzadas por la obligación dispuesta en los dos apartados precedentes en la medida en que hayan cumplido con lo previsto en los apartados 8 y 9 del presente artículo.

Cuando se deniegue al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, sustentado en un informe crediticio, deberá informársele tal circunstancia, así como la empresa que proveyó dicho informe y hacerle entrega de una copia de éste.

14. Se debe suprimir la información relativa a los fiadores o avalistas cuando se haya cancelado o extinguido la obligación, previo pedido por parte del deudor, fiador o avalista ante la empresa de información crediticia, en la modalidad y plazos dispuestos por el artículo 34 de la presente ley.

ARTÍCULO 61

Bases destinadas a la publicidad. Pueden tratarse sin consentimiento de su titular datos personales con fines de publicidad, venta directa y otras actividades análogas, cuando estén destinados a la formación de perfiles determinados o que permitan establecer hábitos de consumo que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios.

En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente ley.

Los datos referentes a la salud sólo pueden ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la presente ley y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no pueden cederse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 15 y la mención de su derecho a oponerse al tratamiento de sus datos.

En los supuestos contemplados en el presente artículo, el titular de los datos puede ejercer el derecho de acceso sin cargo ni limitación temporal alguna. La información a suministrársele debe incluir la fuente de la que se obtuvieron sus datos, indicando, en su caso, el nombre del responsable o encargado del tratamiento que proveyó la información.

Capítulo 7. Autoridad de control

ARTÍCULO 62

Autoridad de control. Créase la AGENCIA NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (ANPDP) como órgano de control que debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley.

La ANPDP será un ente descentralizado en el ámbito del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS DE LA NACIÓN, con autarquía económica financiera, personería jurídica propia y capacidad de actuación en el ámbito del derecho público y privado.

La ANPDP será dirigida, administrada y representada por un Director Ejecutivo designado por el término de CUATRO (4) años, por el PODER EJECUTIVO NACIONAL con posibilidad de ser reelegido por una única vez. El Director Ejecutivo a cargo de la ANPDP tendrá rango y jerarquía de secretario de Estado. El Director Ejecutivo tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos.

ARTÍCULO 63

Selección del Director Ejecutivo. El procedimiento de selección del Director Ejecutivo de la ANPDP se llevará a cabo de conformidad con lo dispuesto a continuación:

a) el PODER EJECUTIVO NACIONAL propondrá UNA (1) persona y publicará el nombre, apellido y sus antecedentes curriculares en el Boletín Oficial y en DOS (2) diarios de circulación nacional, durante TRES (3) días;

b) el candidato deberá presentar una declaración jurada, conforme la normativa prevista en la Ley de Ética en el Ejercicio de la Función Pública nº 25.188, y su reglamentación;

c) se requerirá a la ADMINISTRACIÓN FEDERAL DE INGRESOS PÚBLICOS (AFIP) un informe relativo al cumplimiento de las obligaciones impositivas del candidato;

d) los ciudadanos, las organizaciones no gubernamentales, los colegios, las asociaciones profesionales y las entidades académicas podrán, en el plazo de QUINCE (15) días contados desde la última publicación en el Boletín Oficial prevista en el inciso a) del presente artículo, presentar al organismo a cargo de la organización de la audiencia pública observaciones respecto del candidato, por escrito y de modo fundado y documentado.. Sin perjuicio de las presentaciones que se realicen, en el mismo plazo podrá requerirse opinión a organizaciones de relevancia en el ámbito profesional, judicial y académico a los fines de su valoración;

e) dentro de los QUINCE (15) días, contados desde el vencimiento del plazo establecido en el inciso d) del presente artículo, se deberá celebrar una audiencia pública para la evaluación de las observaciones presentadas. Con posterioridad y en un plazo de SIETE (7) días de celebrada la audiencia, el PODER EJECUTIVO NACIONAL tomará la decisión de confirmar o retirar la candidatura de la persona propuesta, debiendo en este último caso proponer a un nuevo candidato y reiniciar el procedimiento de selección.

ARTÍCULO 64

Cese de pleno derecho del Director Ejecutivo. El Director Ejecutivo cesará de pleno derecho en sus funciones de mediar alguna de las siguientes circunstancias:

a) aceptación de la renuncia;

b) expiración del plazo de designación;

c) fallecimiento.

ARTÍCULO 65

Remoción del Director Ejecutivo. El Director Ejecutivo podrá ser removido por estar comprendido en alguna situación que le genere incompatibilidad o inhabilidad, mal desempeño, por delito en el ejercicio de sus funciones o por crímenes comunes. El PODER EJECUTIVO NACIONAL llevará adelante el procedimiento de remoción del Director Ejecutivo de la ANPDP, dándole intervención a una comisión bicameral del HONORABLE CONGRESO DE LA NACIÓN, que será presidida por el presidente del SENADO y estará integrada por los presidentes de las Comisiones de ASUNTOS CONSTITUCIONALES y de DERECHOS Y GARANTÍAS de la HONORABLE CÁMARA DE SENADORES DE LA NACIÓN y las de ASUNTOS CONSTITUCIONALES y de DERECHOS HUMANOS Y GARANTÍAS de la HONORABLE CÁMARA DE DIPUTADOS DE LA NACIÓN, la cual emitirá un dictamen vinculante.

Producida la vacante, deberá seguirse el procedimiento de selección establecido en el artículo 63 para elegir a un nuevo Director en un plazo no mayor a TREINTA (30) días.

ARTÍCULO 66

Deberes y funciones del Director Ejecutivo. El Director Ejecutivo tendrá los siguientes deberes y funciones:

a) ejercer la representación, dirección y administración general de la ANPDP, suscribiendo a tal fin los actos administrativos pertinentes;

b) representar al Estado nacional o designar personal idóneo para su representación, en todos aquellos procesos que se desarrollen ante tribunales judiciales o arbitrales, o ante organismos con facultades jurisdiccionales en los que se debatan asuntos de competencia de la ANPDP;

c) dictar las normas reglamentarias necesarias para el funcionamiento operativo del organismo;

d) toda otra atribución necesaria para el cumplimiento de las funciones del organismo.

ARTÍCULO 67

Personal de la autoridad de control. La ANPDP deberá contar con el personal técnico y administrativo que establezca la Ley de Presupuesto General de la Administración Nacional. El personal estará obligado a guardar secreto respecto de los datos de carácter personal de los que tome conocimiento en el desarrollo de sus funciones.

ARTÍCULO 68

Financiación. LA ANPDP se financiará a través de:

a) lo que recaude en concepto de tasas que se fijen por ley por los servicios que preste;

b) el producido de las multas referidas en esta ley;

c) las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto General de la Administración Nacional.

ARTÍCULO 69

Patrimonio. La ANPDP tendrá un patrimonio integrado con los siguientes bienes:

a) los adquiridos hasta la fecha de la sanción de la presente ley, que se encuentran incorporados al Estado nacional con afectación a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES;

b) los que adquiera la ANPDP posteriormente conforme a las disposiciones y leyes que le fueran aplicables.

ARTÍCULO 70

Facultades de la autoridad de control. La ANPDP deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:

a) asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de sus derechos;

b) dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c) atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente ley;

d) controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente ley y las reglamentaciones que dicte la autoridad de control; a tal efecto, podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de esta ley;

e) solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f) imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten en su consecuencia;

g) percibir las tasas que se fijen por ley por los servicios de inscripción y otros que preste;

h) constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente ley;

i) homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento;

j) diseñar su estructura orgánica de funcionamiento y designar a su planta de agentes;

k) elaborar su presupuesto anual;

l) solicitar información a los delegados de protección de datos, en los términos de lo previsto en la presente ley;

m) publicar un informe anual de rendición de cuentas de gestión;

n) elaborar y presentar ante el HONORABLE CONGRESO DE LA NACIÓN propuestas de reforma legislativa respecto de su área de competencia;

ñ) celebrar convenios de cooperación y contratos con organizaciones públicas o privadas, nacionales o extranjeras, en el ámbito de su competencia, para el cumplimiento de sus funciones.

Capítulo 8. Procedimientos y sanciones

ARTÍCULO 71

Procedimiento. A los efectos de constatar el cumplimiento de las disposiciones de la presente ley, la autoridad de control podrá iniciar procedimientos:

a) a instancias del titular de los datos o de su representante legal;

b) de verificación de oficio;

c) de verificación por denuncia de un tercero.

La autoridad de control podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable del tratamiento.

De llegarse a un acuerdo de conciliación entre ambos, esté se hará constar por escrito y tendrá efectos vinculantes.

La autoridad de control determinará el procedimiento que se aplicará a la conciliación.

ARTÍCULO 72

Trámite de protección de los datos personales. El titular de los datos o su representante legal puede iniciar un trámite de protección de los datos personales presentando ante la autoridad de control una solicitud, de manera escrita y por cualquier medio habilitado por la autoridad de control, expresando con claridad el contenido de su requerimiento y de los preceptos de esta ley que se consideran vulnerados. La presentación debe realizarse ante la autoridad de control dentro de los TREINTA (30) días siguientes a la fecha en que se comunique la respuesta al titular de los datos por parte del responsable del tratamiento, de acuerdo a lo previsto en el artículo 34, párrafos segundo y tercero, de la presente ley.

En el caso de que el titular de los datos no reciba respuesta por parte del responsable del tratamiento dentro de los DIEZ (10) días hábiles de haberlo intimado fehacientemente, basta que el titular de los datos acredite la fecha en que presentó la solicitud ante el responsable del tratamiento.

Iniciado el trámite de protección de los datos personales previsto en este artículo ante la autoridad de control, se dará traslado de aquél al responsable del tratamiento, para que en el plazo de DIEZ (10) días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

La autoridad de control admitirá las pruebas que estime pertinentes. Asimismo, podrá solicitar del responsable del tratamiento las demás pruebas que considere necesarias. Concluida la recepción de pruebas, la autoridad de control notificará al responsable del tratamiento el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los CINCO (5) días hábiles siguientes a su notificación.

ARTÍCULO 73

Trámite de verificación de oficio o por denuncia de un tercero. La autoridad de control verificará el cumplimiento de la presente ley y de la normativa que de ésta derive. La verificación podrá iniciarse de oficio o por denuncia de un tercero.

A efectos de practicar la verificación, la autoridad de control tendrá acceso a la información y documentación que considere necesarias, de acuerdo a lo previsto en la presente ley y a la reglamentación correspondiente.

En caso de que corresponda, se aplicará al trámite lo previsto en el artículo 72, párrafos tercero y cuarto, de la presente ley.

ARTÍCULO 74

Resolución. La resolución de la autoridad de control podrá:

a) archivar los trámites mencionados en los artículos 72 y 73 de la presente ley;

b) en caso de considerar que asiste derecho al titular de los datos, requerirle al responsable del tratamiento que haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento a la autoridad de control dentro de los QUINCE (15) días hábiles de efectuado;

c) de verificarse incumplimientos a la presente ley, imponer una sanción de las previstas en el artículo 76.

d) La autoridad de control dictará la resolución que corresponda dentro de un plazo razonable, atendiendo a la complejidad del tema a resolver.

ARTÍCULO 75

Recursos. Las resoluciones de la autoridad de control agotarán la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, las resoluciones previstas en el artículo 76 serán recurribles por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

ARTÍCULO 76

Sanciones. Una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del responsable del tratamiento o del encargado del tratamiento, la autoridad de control impondrá las medidas o las sanciones correspondientes.

La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones:

a) apercibimiento;

b) multa que podrá alcanzar el equivalente a QUINIENTOS (500) Salarios Mínimo Vital y Móvil vigentes al momento de la imposición de la sanción;

c) suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de SEIS (6) meses; en el acto de suspensión se indicarán los correctivos que se deberán adoptar;

d) cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la autoridad de control;

e) cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Al ordenar la suspensión o cierres previstos en los incisos c), d) y e) la autoridad de control podrá ordenar que, de manera temporal o definitiva, se retire, bloquee, suspenda y/o inhabilite el acceso a los datos personales a los que los responsables del tratamiento den acceso, interconecten, transmitan o direccionen, almacenen, alojen, intermedien, enlacen o busquen, que lesionen derechos legalmente reconocidos. A tal efecto, la autoridad de control deberá precisar, de acuerdo a lo informado por el titular de los datos, el enlace en el que se encuentren alojados los datos personales o los procedimientos para acceder a aquél. En ningún caso, estas medidas podrán afectar el derecho a la libertad de expresión e información.

Las sanciones indicadas en el presente artículo sólo se aplican para las personas de naturaleza privada. En el caso en el cual la autoridad de control advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la autoridad que corresponda para que inicie la investigación respectiva.

En todos los casos, la autoridad de control podrá disponer, a costa del responsable, la publicación de la resolución en el diario de mayor circulación de la jurisdicción donde se encuentre establecido el responsable.

ARTÍCULO 77

Gradación. Las sanciones por infracciones a las que se refiere el artículo 76 se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) la dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;

b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;

c) la reincidencia en la comisión de la infracción;

d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la autoridad de control;

e) el incumplimiento de los requerimientos u órdenes impartidas por la autoridad de control;

f) el reconocimiento o aceptación expreso que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

La designación voluntaria de un delegado de protección de datos, la adopción de mecanismos de autorregulación vinculantes, la realización de una evaluación de impacto en los términos del artículo 40 y la notificación oportuna de incidentes de seguridad, serán merituados como atenuantes de la sanción que corresponda, sin perjuicio de otros que pueda considerar la autoridad de control.

Capítulo 9. Acción de habeas data

ARTÍCULO 78

Procedencia. La acción de habeas data procede para tutelar los derechos que resulten restringidos, alterados, lesionados o amenazados por un tratamiento de datos personales contrario a la presente ley por parte de las autoridades públicas o por particulares. Esta acción procederá especialmente para ejercer los derechos de acceso, rectificación, oposición, cancelación y portabilidad de los datos previstos en la presente ley.

En los casos en que se presuma o se hubiera verificado la falsedad, inexactitud, desactualización de la información de que se trata, o se hubiera realizado un tratamiento de datos ilícito o prohibido, la acción de habeas data procederá para ejercer los derechos de rectificación, de oposición, o de supresión previstos en los artículos 29, 30 y 31; el derecho de oposición también podrá ser ejercido en los supuestos del artículo 32 de la presente ley.

ARTÍCULO 79

Legitimación activa y pasiva. La acción de habeas data podrá ser ejercida por el titular de los datos afectado, sus tutores, curadores o por el titular de la responsabilidad parental o tutela en caso de niños, niñas o adolescentes. En el caso de las personas humanas fallecidas, la acción podrá ser ejercida por sus sucesores universales.

La acción podrá ser también intentada en representación plural, sectorial o colectiva, siempre que su objeto se limite a la impugnación de tratamientos que conlleven violaciones generalizadas, pero en tal caso los promotores de tales acciones no podrán tener acceso a los datos de las demás personas que integran el colectivo por ellas representados, sino sólo a los datos propios. Tendrán legitimación para interponer esta acción el titular de los datos, el Defensor del Pueblo, las asociaciones sectoriales, la autoridad de control y el Ministerio Público.

En el proceso podrá intervenir, en forma coadyuvante y cuando corresponda, la autoridad de control, quien será notificada del inicio de la acción de habeas data.

La acción procede respecto de los responsables del tratamiento. Excepcionalmente los responsables del tratamiento podrán interponer la acción contra otros responsables o encargados del tratamiento cuando éstos últimos incumplan con sus obligaciones legales o convencionales y esto pueda acarrearles perjuicio.

ARTÍCULO 80

Competencia. Será competente para entender en esta acción el juez del domicilio del actor o del demandado, a elección del actor.

Procederá la competencia federal cuando la acción:

a) se interponga en contra de los responsables del tratamiento que sean parte de la Administración Pública Nacional;

b) se interponga en contra del responsable del tratamiento de datos accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 81

Procedimiento aplicable. La acción de habeas data tramitará según las disposiciones de la presente ley y, supletoriamente, según el procedimiento que corresponde a la acción de amparo común y según las normas del CÓDIGO PROCESAL CIVIL Y COMERCIAL DE LA NACIÓN, en lo atinente al juicio sumarísimo.

El juez dispondrá de amplias facultades para adaptar los procedimientos de acuerdo a las circunstancias particulares del caso y a fin de dar mayor eficacia tuitiva al proceso.

ARTÍCULO 82

Requisitos de la demanda. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del responsable del tratamiento y, en su caso, el nombre de la base de datos o cualquier otra información que pudiera ser útil a efectos de identificarla. En el caso de bases de datos públicas, se procurará establecer autoridad u organismo público del cual dependan el responsable o el encargado del tratamiento.

El accionante deberá alegar las razones por las cuales entienda que se esté

efectuando tratamiento de datos referido a su persona y los motivos por los cuales considere que procede el ejercicio de los derechos que le reconoce la presente ley. Deberá asimismo justificar el cumplimiento de los recaudos que hacen al ejercicio de tales derechos.

El accionante podrá solicitar al Juez que, mientras dure el procedimiento, el responsable o el encargado del tratamiento informe que la información cuestionada está sometida a un proceso judicial.

El juez podrá disponer el bloqueo provisional del acceso a la base de datos en lo referente a los datos personales motivo del juicio cuando sea manifiesto el carácter ilícito del tratamiento de esos datos o ellos sean inequívocamente falsos o inexactos.

ARTÍCULO 83

Trámite. Admitida la acción, el juez requerirá al responsable del tratamiento la remisión de la información concerniente al accionante y el ofrecimiento de la prueba pertinente. Podrá asimismo solicitar, en caso que corresponda, esa información al encargado del tratamiento o al delegado de protección de datos. También podrá requerir informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

El plazo para contestar el informe no podrá ser mayor de CINCO (5) días hábiles, el que podrá ser ampliado prudencialmente por el juez.

Los responsables o encargados del tratamiento o delegados de protección de datos no podrán alegar la confidencialidad de la información que se les requiere, salvo el caso en que se afecten las fuentes de información periodística.

Cuando un responsable o encargado del tratamiento o delegado de protección de datos se oponga a la remisión del informe solicitado, con invocación de las excepciones autorizadas por la presente ley o por una ley específica, deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de la información requerida manteniendo su confidencialidad.

ARTÍCULO 84

Contestación del informe. Al contestar el informe, el responsable o encargado del tratamiento o el delegado de protección de datos deberá expresar las razones por las cuales efectuó el tratamiento cuestionado y, en su caso, aquellas razones por las que no evacuó el pedido efectuado por el accionante.

ARTÍCULO 85

Ampliación de la demanda. Contestado el informe, el actor podrá, en el término de TRES (3) días, ampliar el objeto de la demanda, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por igual término para que conteste y ofrezca prueba.

ARTÍCULO 86

Sentencia. Vencido el plazo para la contestación del informe o contestado éste, y en el supuesto del artículo 85, luego de contestada la ampliación y en su caso, habiendo sido producida la prueba, el juez dictará sentencia.

En el caso de estimarse procedente la acción, se especificará si la información debe ser bloqueada, suprimida, rectificada, o actualizada, estableciendo un plazo para su cumplimiento. En ningún caso, la sentencia podrá afectar el derecho a la libertad de expresión e información.

El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el demandado.

En cualquier caso, la sentencia deberá ser comunicada a la autoridad de control.

Contra la sentencia procede el recurso de apelación.

Capítulo 10. Disposiciones transitorias

ARTÍCULO 87

Estructura organizativa. En el plazo de CIENTO OCHENTA (180) días hábiles posteriores a la asunción de su cargo, el Director Ejecutivo de la ANPDP presentará un proyecto de estructura organizativa y reglamentación interna, para su aprobación por el PODER EJECUTIVO NACIONAL y publicación en el Boletín Oficial.

Incorpórese a la planta de personal de la ANPDP a quienes, a la fecha de entrada en vigencia de la presente ley, cumplan funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y hayan sido contratados en el marco de las Leyes nros. 23.283 y 25.164. A dicho personal se le respetarán los beneficios y condiciones laborales actuales. El personal contratado en el marco de la Ley nº 23.283, que a la fecha de entrada en vigencia de la presente ley, se encuentre cumpliendo funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y no acepte ser incorporado a la planta de la ANPDP, tendrá derecho a percibir la indemnización correspondiente por cese laboral en los términos de lo previsto por la Ley nº 20.744, la que será solventada por el Fondo de Cooperación Técnica y Financiera previsto en el artículo 8° de la Ley nº 23.283.

ARTÍCULO 88

Presupuesto. Instrúyase al Jefe de Gabinete de Ministros para que, en uso de sus facultades, efectúe las reestructuraciones presupuestarias que fueren necesarias a los efectos de asignar los créditos, cargos y cualquier otra adecuación necesaria para el financiamiento de la ANPDP.

Deberá preverse en el presupuesto correspondiente la incorporación de los recursos necesarios para el correcto cumplimiento de las funciones de la ANPDP.

Transfiérase la totalidad de los bienes, presupuesto vigente, activos, patrimonio y personal de la actual DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Una vez canceladas las deudas que en la actualidad mantenga el ente cooperador que hubieran sido autorizadas conforme la normativa vigente, los saldos resultantes del fondo de cooperación técnica y financiera serán ingresados a la cuenta de Rentas Generales del Tesoro de la Nación, la cual generará las correspondientes partidas presupuestarias con afectación específica a la ANPDP.

ARTÍCULO 89

Reglamentación. El PODER EJECUTIVO NACIONAL reglamentará la presente ley dentro de los CIENTO OCHENTA (180) días desde su promulgación.

ARTÍCULO 90

Vigencia. Las disposiciones de la presente ley entrarán en vigencia a los DOS (2) años de su publicación en el Boletín Oficial.

Los responsables y encargados del tratamiento contarán con el plazo máximo de DOS (2) años desde la publicación de la presente ley en el Boletín Oficial, para adaptarse a las obligaciones contenidas en ella. En dicho plazo, conservarán plena vigencia las Leyes nros. 25.326, 26.343 y 26.951, sus normas reglamentarias y las demás disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

El Registro Nacional “No Llame”, creado por la Ley nº 26.951, será transferido al nuevo registro creado por el artículo 46 de la presente ley de acuerdo a lo que prevea su reglamentación.

Capítulo 11. Disposiciones finales

ARTÍCULO 91

Orden público y jurisdicción federal. Las normas de la presente ley contenidas en los Capítulos 1, 2, 3, 4, y 6 son de orden público y de aplicación en lo pertinente en todo el territorio nacional.

Se invita a las provincias a adherir a las normas de esta ley que fueren de aplicación exclusiva en jurisdicción nacional.

La competencia federal regirá respecto de:

a) los tratamientos de datos efectuados por las autoridades u organismos públicos pertenecientes a la Administración Pública Nacional;

b) los tratamientos de datos efectuados por el sector privado, cuando los datos se encuentren accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 92

Referencias. Las referencias de aquellas normas que hagan mención a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerarán hechas a la ANPDP, su competencia o sus autoridades, respectivamente.

ARTÍCULO 93

Derogación. Deróganse las Leyes nros 25.326, 26.343 y 26.951.

ARTÍCULO 94

Comuníquese al PODER EJECUTIVO NACIONAL.

17Feb/19

A vueltas con los motores de búsqueda y el derecho al olvido

A VUELTAS CON LOS MOTORES DE BÚSQUEDA Y EL DERECHO AL OLVIDO

A vueltas con los Motores de Búsqueda y el Derecho al Olvido

El Abogado General Spunzar emitió el pasado 10 de enero su opinión hacia el Tribunal de Justicia de la Unión Europea (TJUE) sobre dos casos relativos a la desindexación de contenidos de los motores de búsqueda. El TJUE aún nos e ha pronunciado sobre estos asuntos, pero sus sentencias suelen seguir la línea de pronunciamiento del Abogado General.

  1. Datos sensibles y motores de búsqueda

Varios ciudadanos se encuentran enfrentados en un litigio frente al equivalente a la Agencia Española de Protección de Datos en Francia, CNIL (Comisión Nacional de Informática y Libertades), en relación con 4 decisiones de esta última, en la que niega a dichos ciudadanos la desindexación del archiconocido motor de búsqueda Google. El contenido que mostrarían las páginas web al ser accedidas desde el buscador introduciendo los apellidos de los afectados sería un fotomontaje satírico contra una política, un artículo en el que se menciona el cargo de uno de ellos como responsable de relaciones públicas de la Iglesia de la Cienciología, la investigación de la que fue objeto un político y la condena de otro de los afectados por agresión sexual a un menor.

El Conseil d’Etat plantea entonces diversas cuestiones prejudiciales al TJUE. La primera de ellas, sobre si resulta aplicable también a los motores de búsqueda la prohibición general de tratamiento de datos de categorías especiales (como son las opiniones políticas, las convicciones religiosas o filosóficas, o la sexualidad). El Abogado Spunzar explica entonces que, en su opinión, es necesario interpretar las disposiciones de la norma de modo que se tengan en cuenta las responsabilidades, competencias y responsabilidades reales de los motores de búsqueda. Así, concluye que al contrario de lo que sucedería con cualquier otro responsable, el buscador no decide si tratar datos sensibles o no, pues son otros responsables los que lo hacen por él. Por ello, dicha prohibición debe funcionar necesariamente a la inversa, realizando una verificación a posteriori, cuando el afectado presente una reclamación para su desindexación.

En su segunda cuestión prejudicial, el Conseil d’Etat plantea si existe una “obligación sistemática de desindexación a cargo de los gestores de motores de búsqueda”. El Abogado General se remite entonces a su respuesta anterior. También aplica a los motores de búsqueda la prohibición general de tratamiento de datos de categorías especiales, lo que obligaría a los motores de búsqueda a “aceptar sistemáticamente las solicitudes de desindexación relativas a vínculos que lleven a páginas de Internet en las que figuren tales datos, sin perjuicio de las excepciones previstas en la Directiva 95/46”.

La tercera cuestión prejudicial en ser abordada por el Abogado General, versa sobre el tratamiento de datos personales y la libertad de expresión. El artículo 9 de la Directiva 95/46 establece exenciones y excepciones para el tratamiento de datos con fines exclusivamente de periodismo o de expresión artística o literaria, en particular, siempre que sean necesarias para conciliar el derecho a la privacidad con las normas que regulan la libertad de expresión. En este sentido, el Abogado General concluye que el buscador deberá ponderar los casos en los que pueda resultar aplicable la excepción al tratamiento de datos por motivo del respeto a la libertad de información y expresión, circunstancia que permitiría el rechazo de una solicitud de desindexación.

Por último, el Abogado General da una respuesta muy similar a la última cuestión, relativa a aquellas solicitudes de desindexación sobre datos incompletos, inexactos u obsoletos, como los relativos a situaciones anteriores a la finalización de un procedimiento judicial. En este caso, el Abogado General, indica que el buscador deberá ponderar entre el respeto al derecho a la vida privada, el derecho a la protección de datos y el derecho a la libertad de información y de expresión.

  • Alcance territorial del derecho al olvido

El 21 de mayo de 2015 la CNIL requirió a Google que desindexara determinados resultados de búsqueda de su buscador para todas las extensiones territoriales del mismo, no solamente de las extensiones territoriales del buscador correspondientes a los territorios europeos. Google se negó a cumplir con este requerimiento, manteniendo una suerte de bloqueo geográfico. Es decir, los resultados de búsqueda serían accesibles a cualquier IP no europea visitando una extensión de dominio no europea. Tras esto, la CNIL impuso a Google una sanción de 100.000 euros, quien solicitó ante el Conseil d’Etat la anulación de dicha resolución. Por su parte el Conseil d’Etat decidió plantear varias cuestiones prejudiciales al TJUE sobre el asunto.

¿Debe interpretarse que el derecho al olvido obliga al gestor a retirar los enlaces “independientemente del lugar desde el que se realice la búsqueda a partir del nombre del solicitante, incluso fuera del ámbito de aplicación territorial de la Directiva de 24 de octubre de 1995”?

Según la opinión del Abogado General Spunzar el alcance territorial de la Directiva 95/46 se limita a los territorios de la Unión Europea, por lo que sugiere al TJUE que interprete que el operador del motor de búsqueda no está obligado a desindexar los enlaces objeto de solicitud fuera los territorios de la Unión Europea, garantizando que tal desindexación se realice a nivel europeo.

Por último, cabe reseñar una reciente sentencia del Tribunal Supremo (STS 12/2019) en la que el Tribunal interpreta, entre otros aspectos, el requisito de veracidad para el mantenimiento del vínculo en el motor de búsqueda a una noticia al buscar por el nombre de las personas involucradas en dicho hecho.

Víctor Méndez

Departamento Legal