Archivos de la etiqueta: Derecho Informático Bolivia

23Sep/21
Proyecto de Ley

Anteproyecto de Ley Protección de Datos Personales, mayo 2019

ANTEPROYECTO DE LEY PROTECCIÓN DE DATOS PERSONALES

Mayo 2019

TÍTULO I. DISPOSICIONES GENERALES

CAPÍTULO I. GENERALIDADES

Artículo 1. (Objeto)

La presente ley tiene por objeto normar el tratamiento de datos personales tratados por en el Estado Plurinacional de Bolivia, así como regular los métodos de seguridad, las responsabilidades y sanciones aplicables a cada caso.

Artículo 2. (Ámbito de Aplicación)

La presente Ley será aplicable a las personas naturales y/o jurídicas de carácter privado, público o mixto, nacionales o internacionales que traten datos personales de bolivianas y bolivianos, así como los habitantes de nuestro país, con independencia de si el tratamiento tuvo lugar en el territorio nacional o no, así como independientemente de la forma de su tratamiento, modalidad de creación, tipo de soporte, procesamiento, almacenamiento y organización.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulten pertinentes, a los datos relativos a personas jurídicas.

Artículo 3. (Definiciones)

A efecto de la aplicación de la presente Ley, se entiende por:

a) Bases de datos: Conjunto organizado de datos personales, cualquiera que sea su forma o modalidad de creación, almacenamiento, organización, acceso, tratamiento y difusión.

Se dividen en:

– Bases de Datos Automatizadas: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

– Bases de Datos no Automatizadas: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.

b) Consentimiento: Manifestación de la voluntad, libre, expresa, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza con un determinado fin y tiempo específico, el tratamiento de los datos personales que le pertenecen.

c) Datos Personales: Información (datos y metadatos) de cualquier tipo, que permitan identificar, localizar o contactar a personas naturales o jurídicas. Se divide en:

– Datos Personales Generales: Información (datos y metadatos) de cualquier tipo empleada para identificar, localizar o contactar de forma directa o indirecta a personas naturales o jurídicas, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo.

– Datos Personales Sensibles: Aquellos que se refieran a la esfera íntima de una persona natural. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.

En la presente ley, cuando se contemple “Datos Personales”, se entenderá que abarca los datos personales y sensibles, a menos de que se especifique lo contrario.

d) Metadato: Aquellos datos que hablan de los datos; es decir, “datos acerca de los datos” y sirven para suministrar información sobre los datos producidos. Los metadatos consisten en información que caracteriza datos, describen el contenido, calidad, condiciones, historia, disponibilidad y otras características de los datos.

– Ser datos altamente estructurados que describen características de los datos, como el contenido, calidad, información y otras circunstancias o atributos.

– Presentan diferenciaciones que dependerán, en última instancia, de las reglas incluidas en las aplicaciones para determinar la estructura interna de los esquemas de datos.

– Pueden clasificarse en función de distintos criterios, como su contenido, variabilidad o función.

e) Derechos ARCO: Derechos personalísimos y fundamentales de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.

f) Disociación de Datos: Todo tratamiento de datos personales y/ o sensibles de manera que la información obtenida no pueda asociarse a persona determinada o determinable. Se divide en:

– Anonimización: Proceso irreversible mediante el cual los datos identificativos se disocian de los datos personales y/o sensibles. Existen tres tipos: Generalización, aleatorización y eliminación. Tiene la finalidad de minimizar la posibilidad directa o indirecta de identificación del titular.

– Seudonimización: Proceso reversible de desasociación de datos personales del titular, sustituyéndolos por códigos, palabras u otros similares, con la finalidad de resguardar los datos personales y/o sensibles.

g) Encargado: Prestador de servicios, que con el carácter de persona natural o jurídica o autoridad pública, ajena a la organización del responsable, trata datos personales sensibles a nombre y por cuenta de un tercero éste.

h) Exportador: Persona natural o jurídica privada, o pública o mixta que efectúe transferencias internacionales de datos personales.

i) Responsables del Tratamiento de Datos Personales: Son las personas naturales o jurídicas encargadas de obtener el consentimiento de los titulares de forma directa o indirecta y están a cargo de la recopilación, aplicación de medios de seguridad y tratamiento de Datos Personales, según corresponda. Se dividen en:

– Responsable: Persona natural o jurídica privada, pública o mixta, que sólo o en conjunto con otros, define los fines y medios y realiza el tratamiento de datos personales a nombre propio, de forma directa o por intermedio de terceros encargados.

– Encargado: Es la persona natural o jurídica privada, pública o mixta a la cual se delega el tratamiento de datos personales a nombre del Responsable.

– Exportador: Persona natural o jurídica privada, pública o mixta, que efectúa transferencias de datos personales a nivel nacional y/o internacional. Una persona natural o jurídica podrá tener, al mismo tiempo, la condición de exportador y de responsable o encargado.

Cuando en la presente ley se estipule una obligación aplicable al “Responsable” del tratamiento de datos personales, tendrá alcance a todas las divisiones contempladas en el presente literal.

j) Titular: Persona natural o jurídica sobre quien recae el derecho propietario (la titularidad y pertinencia) de los datos personales.

k) Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionados, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

CAPÍTULO II. GARANTÍAS Y PRINCIPIOS

Artículo 4. (Principios y Garantías Constitucionales)

El Estado, en el marco de lo dispuesto por nuestro bloque constitucional, garantizará a los titulares de los datos personales, el ejercicio de todos los derechos reconocidos en los tratados internacionales de derechos fundamentales; así como el cumplimiento por parte de personas naturales, jurídicas privadas, públicas o mixtas, nacionales e internacionales, de la presente ley, con el propósito de impedir efectivamente el tráfico ilícito de datos personales, lesivo a la dignidad y derecho del/la afectado(a).

Artículo 5. (Principios Comerciales)

Las relaciones jurídicas de naturaleza comercial se regirán por las normas corporativas vinculantes (Binding Corporate Rules BCR) y los principios de buena fe, transparencia, equidad, minimización de datos, democratización, autonomía de voluntad, independencia, sostenibilidad, seguridad jurídica, simplicidad y celeridad, así como aquellos principios contemplados en la presente norma y aquellas de carácter supranacional de derechos humanos, ha momento de procesar el tratamiento de datos de manera nacional e internacional, debiendo prevalecer los derechos de los titulares en todo momento y contexto.

Artículo 6. (Principio de Licitud)

El tratamiento de datos personales debe cumplir con elementos de: veracidad de los datos, legitimidad de los fines del tratamiento, adopción de las medidas de seguridad, cumplimiento de los deberes de conservación, información, consentimientos, concretados en la calidad y legitimación de los datos a través del estricto apego y cumplimiento de lo dispuesto en las leyes bolivianas y los tratados internacionales de derechos humanos aplicables a la materia.

Artículo 7. (Principio de Lealtad)

I. El principio de tratamiento leal y transparente exigen que se informe el tipo de tratamiento y manejo de sus datos personales y/o sensibles, incluyendo los medios de seguridad aplicables.

Notificando al titular del derecho cada vez que un servidor público y/o persona natural de derecho privado ingrese a consultar o tratar sus datos, haciéndole conocer el fin o los fines de dicho tratamiento, obteniendo un consentimiento del titular de manera previa, privilegiando la protección de los intereses del titular y absteniéndose de tratar éstos a través del consentimiento obtenido a través medios engañosos o fraudulentos.

II. Es desleal aquellos tratamientos de datos personales y/o sensibles que den lugar a actos, hechos de cualquier naturaleza, contrarios a los intereses del titular de los datos, ya sea una discriminación injusta o arbitraria, u otras. Quedando prohibido cualquier tratamiento desleal.

Artículo 8. (Principio de Transparencia)

I. El Responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales y/o sensibles, a fin de que pueda tomar decisiones informadas al respecto.

II. El Responsable proporcionará al titular, al menos, la siguiente información:

1) Su identidad y datos de contacto.

2) Las finalidades del tratamiento a que serán sometidos sus datos personales y/o sensibles.

3) Las comunicaciones nacionales o internacionales, de datos personales y/o sensibles que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

4) La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

5) En su caso, el origen de los datos personales y/o sensibles cuando el responsable no los hubiere obtenido directamente del titular.

6) Las personas dependientes o no del responsable, que tendrán acceso a los datos personales y/o sensibles del titular.

7) El plazo determinado para el tratamiento de los datos personales y/o sensibles.

8) Información expresa y explícita de los derechos ARCO y el bloque constitucional que resguarda a los titulares de los datos personales y/o sensibles, así como las posibilidades legales e instancias de reclamo existentes en el Estado Plurinacional de Bolivia.

III. La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes. El titular de los datos personales y/o sensibles podrá solicitar que tanto el consentimiento expreso, como la información relativa al tratamiento de sus datos, se realice en su idioma nativo.

Artículo 9. (Principio de Finalidad)

I. Todo tratamiento de datos personales se limitará al cumplimiento de finalidades determinadas, explícitas y legítimas.

II. El responsable, sus dependientes o terceras personas relacionadas al responsable, no podrán tratar los datos personales y/o sensibles, en su posesión, para finalidades distintas a aquéllas que motivaron el consentimiento expreso del titular y por ende el tratamiento original de éstos.

Artículo 10. (Principio de proporcionalidad)

El responsable tratará únicamente los datos personales y/o sensibles que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a la(s) finalidad(es) que justifican su tratamiento y que se invocan en el consentimiento expreso del titular. Para ello, el registro informático de datos personales y/o sensibles deberá realizarse de la manera más granular posible, asegurando que cualquier consulta realizada a la base de datos que lo almacena acceda a la información directamente relacionada a la finalidad de la consulta y emerja de la notificación del titular, del acceso a los datos personales y/o sensibles de su pertenencia.

Artículo 11. (Principio de Calidad)

I. El responsable adoptará las medidas necesarias para mantener exactos, completos y actualizados los datos personales en su posesión, de tal manera que no se altere la veracidad de éstos. Esto conforme se requiera para el cumplimiento de las finalidades que motivaron su tratamiento.

II. Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización.

III. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

IV. Los datos personales únicamente serán conservados durante el plazo necesario para el cumplimiento de las finalidades que justifiquen su tratamiento o aquéllas relacionadas con exigencias legales aplicables al responsable.

Artículo 12. (Principio de Responsabilidad)

I. El responsable implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en los presentes Ley, así como rendirá cuentas sobre el tratamiento de datos personales al titular y a la Agencia de Protección de Datos Personales – APP, para lo cual podrá valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de autorregulación, sistemas de certificación o cualquier otro mecanismo que determine adecuado para tales fines. Esta obligación, aplicará también cuando los datos personales sean tratados por parte de un encargado a nombre y por cuenta del responsable, así como al momento de realizar transferencias de datos personales.

II. Entre los mecanismos que el responsable podrá adoptar para cumplir con el principio de responsabilidad se encuentran, de manera enunciativa más no limitativa, los siguientes:

1. Destinar recursos para la instrumentación de programas y políticas de protección de datos personales.

2. Implementar sistemas de administración de riesgos asociados al tratamiento de datos personales.

3. Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del responsable.

4. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales.

5. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

6. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.

7. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.

III. El responsable revisará y evaluará permanentemente los mecanismos que para tal efecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento de la legislación nacional aplicable.

Artículo 13. (Principio de Seguridad)

I. El responsable establecerá y mantendrá medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los datos personales.

II. Para la determinación de las medidas referidas en el numeral anterior, el responsable considerará los siguientes factores:

1. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

2. El estado de la técnica.

3. Los costos de aplicación.

4. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

5. El alcance, contexto y las finalidades del tratamiento.

6. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

7. El número de titulares.

8. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

9. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

III. El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Artículo 14. (Principio de Confidencialidad)

El responsable establecerá controles o mecanismos para que quienes intervengan en cualquier fase del tratamiento de los datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular.

Artículo 15. (Principio Pro Homine)

Criterio interpretativo que establece que se debe aplicar la norma o la interpretación más favorable a la persona o titular de los datos personales, considerándose la protección y la prohibición de la limitación de Derechos Humanos, aplicando la norma, interpretación o situación menos restrictiva y más favorable al titular.

TÍTULO II. CONSENTIMIENTO

CAPÍTULO I. CONDICIONES Y TRATAMIENTO DE SECTORES VULNERABLES

Artículo 16. (Condiciones para el Consentimiento)

I. El consentimiento debe ser expreso, previo e informado; por tanto, el Responsable deberá contar de manera inobjetable, de manera previa al tratamiento de los datos personales, con el consentimiento expreso del titular. El mismo para no contar con vicios, deberá ser informado, especificar la finalidad, los mecanismos de seguridad que empleará en el tratamiento de los datos personales y el tiempo de vigencia de dicho consentimiento y por tanto de posibilidad de tratamiento de los datos.

II. El titular podrá revocar, en cualquier momento, el consentimiento otorgado. El responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos para este fin.

III. El consentimiento otorgado por el titular de datos personales, no otorga el derecho a terceros de hacer uso del tratamiento consentido, a menos de que el consentimiento incluya esta posibilidad.

IV. La información previa al consentimiento deberá ser otorgada en el idioma nativo del titular de los datos personales, pudiendo solicitar un traductor para el efecto. Asimismo, para las personas con capacidades diferentes no interdictas se les otorgará la información en los medios idóneos para su comprensión, asegurando dicho extremo de manera documental.

Artículo 17. (Tratamiento de Datos Personales de Sectores Vulnerables)

El consentimiento para el tratamiento de datos personales de menores de edad y personas con capacidades diferentes interdictas, será obtenido a través del consentimiento de los tutores, titulares de la patria potestad o guarda, cumpliendo rigurosamente las condiciones del consentimiento y principios consagrados por la presente ley.

CAPÍTULO II. EXCEPCIONES

Artículo 18. (Excepciones)

Los datos personales podrán ser objeto de tratamiento por una persona natural o jurídica privada, pública o mixta, cuando el titular otorgue el consentimiento expreso e informado, para una o varias finalidades específicas.

Excepcionalmente, el tratamiento de datos personales podrá realizarse sin el consentimiento del titular pero con su conocimiento informado, en los siguientes casos.

1. El tratamiento sea necesario para el cumplimiento de una orden judicial, requerimiento fiscal fundado y motivado, en atención a un proceso abierto y en curso, de autoridad pública competente.

2. El tratamiento sea necesario para el reconocimiento o defensa de los derechos del titular ante una autoridad pública.

3. El tratamiento sea necesario para proteger la vida del titular.

4. El tratamiento sea necesario por razones de interés público establecidas o previstas en ley.

TÍTULO III. DERECHOS Y OBLIGACIONES

CAPÍTULO I. DERECHOS DEL TITULAR DE DATOS PERSONALES

Artículo 19. (Derechos del Titular de los Datos Personales)

En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación, oposición y portabilidad de los datos personales que le conciernen. El ejercicio de cualquiera de los derechos referidos anteriormente no es requisito previo, ni impide el ejercicio de otro.

Artículo 20. (Derecho de Acceso)

El titular tendrá el derecho de solicitar el acceso a sus datos personales que estuviesen en posesión del responsable, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento. Los responsables deberán comunicar mediante mecanismos digitales a la Agencia de Protección de Datos Personales – APP de todo tratamiento y acceso que se realice sobre datos personales. La Agencia de Protección de Datos Personales – APP deberá poner a disposición del titular de los datos personales la información de los tratamientos y accesos realizados sobre datos personales de cualquier institución (pública, privada y/o mixta), así como de aquellas personas naturales.

Artículo 21. (Derecho de Rectificación)

El titular tendrá el derecho a obtener del responsable, la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

Artículo 22. (Derecho de Cancelación)

El titular tendrá derecho a solicitar la cancelación o supresión de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.

Artículo 23. (Derecho de Oposición

El titular podrá oponerse al tratamiento de sus datos personales cuando:

1. Tenga una razón legítima derivada de su situación particular.

2. El tratamiento de sus datos personales tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad.

Artículo 24. (Derecho a no ser Objeto de Decisiones Individuales Automatizadas)

I. El titular tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

II. Lo dispuesto en el parágrafo anterior no resultará aplicable cuando el tratamiento automatizado de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular y el responsable; esté autorizado por normativa legal vigente, o bien, se base en el consentimiento demostrable del titular.

III. No obstante, cuando sea necesario para la relación contractual o el titular hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

IV. El responsable no podrá llevar a cabo tratamientos automatizados de datos personales que tengan como efecto la discriminación de los titulares por su origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, así como datos genéticos o datos biométricos.

Artículo 25. (Derecho a la Portabilidad de los Datos Personales)

I. Cuando se traten datos personales por vía electrónica o medios automatizados, el titular tendrá derecho a obtener una copia de los datos personales que hubiere proporcionado al responsable o que sean objeto de tratamiento, en un formato electrónico estructurado, de uso común y lectura mecánica, que le permita seguir utilizándolos y transferirlos a otro responsable, en caso de que lo requiera.

II. El titular podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

III. El derecho a la portabilidad de los datos personales no afectará negativamente a los derechos y libertades de otros.

IV. Sin perjuicio de otros derechos del titular, el derecho a la portabilidad de los datos personales no resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

Artículo 26. (Derecho a la Limitación del Tratamiento de los Datos Personales)

El titular tendrá derecho a que el tratamiento de datos personales se limite al plazo y finalidad otorgado en el consentimiento para ello. Asimismo, su almacenamiento durante el periodo que medie, entre una solicitud de rectificación u oposición hasta su resolución por el responsable. El titular tendrá derecho a la limitación del tratamiento de sus datos personales cuando éstos sean innecesarios para el responsable, pero los necesite para formular una reclamación.

Artículo 27. (Derecho de Indemnización)

El titular tiene derecho a ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación a cualquiera de los derechos establecidos en la presente ley, normas conexas y aquellas que otorguen mayor protección a los derechos humanos.

CAPÍTULO II. EJERCICIO DE DERECHOS

Artículo 28. (Ejercicio de los Derechos ARCO)

I. El responsable establecerá medios y procedimientos sencillos, expeditos, accesibles, gratuitos e informales que permitan al titular ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad. Estos mecanismos y procedimientos no podrán exceder los plazos establecidos en el presente artículo.

Siendo los mismos en todo caso supletorios ante la ausencia de medios y procedimientos dictados por el titular.

II. Para el ejercicio de los derechos establecidos en el parágrafo anterior, no se requerirá otro requisito que la identificación del solicitante y se tramitará conforme el siguiente procedimiento:

1. El titular deberá exponer de manera verbal o escrita el derecho que desea hacer valer y las razones que justifican tal solicitud.

2. El responsable deberá registrar la solicitud del titular y entregar una constancia de la recepción de la solicitud realizada.

3. En el plazo máximo de 7 días hábiles el responsable deberá resolver la solicitud realizada por el titular.

4. En caso que el titular no estuviere conforme con la decisión tomada por el responsable, o en el mismo no hubiere emitido una respuesta en el plazo establecido en el numeral anterior, el titular podrá acudir a la Agencia de Protección de Datos Personales – APP y/o ante la jurisdicción constitucional.

5. El responsable únicamente podrá determinar la no procedencia de la solicitud en los casos de rectificación, cancelación, oposición y portabilidad al amparo de las siguientes causales:

– El responsable acredite tener motivos legítimos para que el tratamiento prevalezca sobre los intereses, los derechos y las libertades del titular.

– El tratamiento sea necesario para el cumplimiento de una disposición legal.

TITULO IV. BASE DE DATOS

CAPÍTULO I. BASES DE DATOS PÚBLICAS Y PRIVADAS

Artículo 29. (Creación y Tratamiento de Bases de Datos Públicas)

La creación y tratamiento de bases de datos por parte de las administraciones públicas, sólo podrán realizarse en razón a las materias de su competencia y en estricto cumplimiento a lo descrito en la presente ley. No se generarán bases de datos o su tratamiento, que vulneren los principios y derechos consagrados en la presente norma.

Artículo 30. (Interoperatividad de Datos entre Administraciones Públicas)

Las entidades públicas dentro del desempeño de sus funciones, únicamente podrán realizar la comunicación de datos de carácter personal a terceras entidades públicas de forma justificada y previo consentimiento informado y expreso del titular.

Artículo 31. (Creación y Tratamiento de Bases de Datos Privadas)

Las personas naturales y jurídicas podrán crear y tratar bases de datos que contengan datos de carácter personal cuando sea congruente con la finalidad del servicio que brinda, con estricto cumplimiento a las disposiciones contenidas en la presente ley.

Artículo 32. (Datos de Acceso Público)

1. Los datos personales almacenados en listas de cámaras, entes colegiados o agrupaciones profesionales deberán limitarse a los usos para los cuales fueron recogidos y tratados, en el marco de los principios y derechos enunciados.

2. Toda ampliación o solicitud de datos adicionales deberá recabar el consentimiento previo, informado y expreso del titular, pudiendo éste último oponerse y en cualquier momento ejercer el derecho de cancelación sobre dicho tratamiento, así como todos los derechos reconocidos por la presente ley.

3. Los datos personales comunicados a través de medios de comunicación convencionales y difusión masiva como la televisiva, radial, escrita y plataformas web, no podrán ser considerados como una aceptación tácita para la creación de ficheros, ni para el tratamiento de datos personales. Dichas comunicaciones deberán enmarcarse en todo momento a los principios y derechos consagrados en la Constitución Política del Estado Plurinacional de Bolivia, la presente ley y normas conexas.

Artículo 33. (Tratamiento de Datos Personales con Fines Publicitarios)

1. Las entidades que se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, gestión comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos hayan sido facilitados por los titulares y hayan sido otorgados a través de un consentimiento previo, informado y expreso.

2. Los mensajes publicitarios y comerciales deberán ser claramente identificados con esa naturaleza.

3. Los titulares tendrán derecho a conocer el origen de sus datos personales cuando hayan recibido comunicaciones comerciales o mensajes publicitarios.

4. Los titulares tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento de forma inmediata, cancelándose las informaciones que sobre ellos figuren, a simple solicitud.

CAPÍTULO II. TRANSFERENCIA DE RESPONSABILIDADES DE TRATAMIENTO DE DATOS PERSONALES

Artículo 34. (Delegación del Tratamiento de Datos Personales por el Responsable)

I. La delegación del tratamiento de datos personales del responsable en favor de un tercero por fuera de su estructura organizacional, deberá formalizarse mediante la suscripción de un contrato o instrumento jurídico suscrito por las partes, bajo los lineamientos dictados por la autoridad.

II. El contrato o instrumento jurídico establecerá, al menos, el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento; el tipo de datos personales; las categorías de titulares, así como las obligaciones y responsabilidades del responsable y encargado.

III. El contrato o instrumento jurídico establecerá, al menos, las siguientes cláusulas generales relacionadas con los servicios:

1. Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable.

2. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable.

3. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables.

4. Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones.

5. Guardar confidencialidad respecto de los datos personales tratados.

6. Suprimir, devolver o comunicar a un nuevo encargado designado por el responsable los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable, excepto que una disposición legal exija la conservación de los datos personales, o bien, que el responsable autorice la comunicación de éstos a otro encargado o exportador, de forma expresa y especifique las condiciones para dicho efecto.

7. Abstenerse de transferir los datos personales, sin autorización expresa del responsable, salvo por mandato expreso de la Agencia de Protección de Datos Personales –APP.

8. Permitir al responsable o Agencia de Protección de Datos Personales – APP, realizar inspecciones y verificaciones in situ.

9. Generar, actualizar y conservar la documentación que sea necesaria y que le remita acreditar sus obligaciones, siempre y cuando no esté relacionada con la información de la Base de Datos Personales.

10. Colaborar con el responsable en todo lo relativo al cumplimiento de la legislación del Estado Plurinacional de Bolivia que resulte aplicable a la materia.

IV. El Encargado o Exportador están obligados a verificar la existencia del consentimiento de los titulares de las bases de datos que tratará por encargo del responsable.

V. Una vez concluida la relación con el responsable, el encargado o exportador deberá destruir la información, sin importar el medio de soporte que la contenga, referente a los Datos Personales y la Base de Datos delegada por el responsable.

VI. La delegación del tratamiento, no exonera de responsabilidad al responsable, contando todas las partes intervinientes en la obtención y tratamiento de los Datos Personales, responsabilidades frente al titular.

Artículo 35. (Subcontratación de Servicios)

El Encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales, siempre y cuando exista una autorización previa por escrito y específica del responsable, a través del contrato o instrumento jurídico suscrito entre este último y el encargado.

Instrumento legal que deberá enmarcarse a los lineamientos dictados por la Agencia de Protección de Datos Personales – APP.

Artículo 36. (Reglas Generales para las Transferencias de Datos Personales)

I. El Responsable o Exportador podrán realizar transferencias internacionales de datos personales cuando se cumplan los siguientes supuestos:

1. En el país donde se hará el tratamiento de los datos personales hubiere reconocido un nivel adecuado de protección de datos personales por parte de la autoridad.

2. El exportador ofrezca garantías suficientes del tratamiento de los datos personales en el país destinatario, y éste, a su vez, acredite el cumplimiento de las condiciones mínimas y suficientes establecidas en la legislación aplicable.

3. El exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. La Agencia de Protección de Datos Personales – APP validará cláusulas contractuales e instrumentos jurídicos donde se reconocerá la nacionalidad y jurisdicción de los datos personales.

4. Cuando sea requerido, la Agencia de Protección de Datos Personales – APP, autorizará la transferencia.

Artículo 37. (Oficial de Protección de Datos Personales)

I. El Responsable, Encargado y/o el Exportador, deberán designar a un oficial de protección de datos personales cuando:

1. Sea una entidad pública.

2. Lleve a cabo tratamientos de datos personales que tengan habitualidad y aplicación sistemática.

3. Realice tratamientos de datos personales donde sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, considerando, entre otros factores y de manera únicamente enunciativa más no limitativa, el tratamiento de datos personales sensibles; debiendo registrar y estar al alcance del titular a simple petición, las transferencias que se efectúen; el alcance del tratamiento; las tecnologías de información utilizadas o las finalidades de éstos y los servidores públicos que hayan accedido a dichos datos personales.

II. El responsable que no se encuentre en alguna de las causales previstas en el parágrafo anterior, podrá designar a un oficial de protección de datos personales si así lo estima conveniente.

III. El responsable estará obligado a otorgar al oficial de protección de datos personales en el desempeño de sus funciones, los recursos necesarios para su desempeño y para el mantenimiento de sus conocimientos especializados y la actualización de éstos.

IV. El oficial de protección de datos personales tendrá, al menos, las siguientes funciones:

1. Asesorar al responsable respecto a los temas que sean sometidos a su consideración en materia de protección de datos personales.

2. Coordinar, al interior de la organización del responsable, las políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la normativa relativa a la protección de datos.

3. Supervisar al interior de la organización del responsable el cumplimiento de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

Artículo 38. (Privacidad en el Tratamiento de Datos Personales)

El responsable aplicará, desde el diseño, en la determinación de los medios del tratamiento de los datos personales, durante el mismo y antes de recabar los datos personales, medidas preventivas de diversa naturaleza que permitan aplicar de forma efectiva los principios, derechos y demás obligaciones previstas en la presente Ley.

El responsable garantizará que sus programas, servicios, sistemas, plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique un tratamiento de datos personales, cumpla por defecto o se ajusten a los principios, derechos y demás obligaciones previstas en la presente Ley.

Artículo 39. (Mecanismos de Autorregulación)

El responsable podrá adherirse, de manera voluntaria, a esquemas de autorregulación vinculante.

Artículo 40. (Evaluación de Impacto a la Protección de Datos Personales)

Cuando el responsable pretenda tratar datos personales sensibles o que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, realizará, de manera previa, a la implementación del recojo y tratamiento, una evaluación del impacto a la protección de los datos personales, aplicable al caso en concreto, estipulando medidas específicas de seguridad que permitan l mayor protección para los titulares. Informe que será presentado ante la Agencia de Protección de Datos Personales – APP para su correspondiente aprobación.

TÍTULO V. REGULACIÓN DEL TRATAMIENTO DE DATOS PERSONALES

CAPÍTULO I. AGENCIA DE PROTECCIÓN DE DATOS PERSONALES – APP

Artículo 41. (Naturaleza)

Se crea la Agencia de Protección de Datos Personales – APP como entidad pública autárquica, con personalidad jurídica de derecho público, con jurisdicción nacional, autonomía de gestión técnica, administrativa y presupuestaria.

Artículo 42. (Objeto)

II. La Agencia de Protección de Datos Personales – APP tiene como objeto ejecutar la regulación y supervisión del recojo y tratamiento de los Datos Personales, con la finalidad de velar por el sano funcionamiento y desarrollo de las Bases de Datos con dichas características, bajo los postulados y derechos expuestos en la presente ley.

III. La Agencia de Protección de Datos Personales – APP, es la institución encargada de ejercer las funciones de regulación, supervisión y control de las personas naturales y jurídicas de derecho privado, público y mixto, en base a las disposiciones de la presente Ley.

Artículo 43. (Directorio)

El Directorio de la Agencia de Protección de Datos Personales – APP estará conformado por los siguientes representantes:

1. Un representante del Ministerio de Obras Públicas, Servicios y Vivienda.

2. Tres representantes de los Gobiernos Autónomos Departamentales.

3. Un representante de la Confederación de Empresarios Privados de Bolivia (CEPB).

4. Dos representantes de la sociedad civil.

Artículo 44. (Atribuciones)

La Agencia de Protección de Datos Personales – APP tiene las siguientes atribuciones, además de aquellas que sean inherentes al ejercicio de sus funciones:

1. Registrar, regular, supervisar y sancionar a las personas naturales y jurídicas de cualquier naturaleza, que tengan bases de datos públicas y privadas en las que se almacenen y traten datos personales.

2. La Agencia de Protección de Datos Personales – APP, emitirá reglamentación específica y supervisará su cumplimiento en el marco de la normativa aplicable.

3. conocerá y resolverá los recursos de alzada y jerárquico que se interpongan contra los actos definitivos de las instancias que recojan y traten Datos Personales.

4. Garantizar y defender los derechos e intereses del consumidor financiero.

5. Vigilar el cumplimiento de las normas que regulan la actividad de recolección y tratamiento de Datos Personales.

6. Normar y vigilar la correcta aplicación de las normas aplicables a la materia, así como la presente ley.

7. Establecer sistemas preventivos de control y vigilancia.

8. Ejercer supervisión consolidada de grupos comerciales.

9. Imponer sanciones por infracción de las disposiciones legales y reglamentarias. Disponer la regularización obligatoria y la intervención de las personas naturales y/o jurídicas que incumplan el marco normativo aplicable en concordancia con la presente ley.

10. Celebrar acuerdos o convenios con otros organismos extranjeros de regulación y supervisión del tratamiento de datos personales, para la cooperación, capacitación y el intercambio de información.

11. Instruir mejoras y ajustes en los sistemas de seguridad aplicados por los Responsables, Encargados y/o Exportadores.

12. Suspender determinadas operaciones en el tratamiento de datos personales de manera fundamentada.

13. Supervisar el control de riesgos y el cumplimiento a las disposiciones legales específicas aplicables al tratamiento de datos personales.

14. Instruir acciones a los Responsables, Encargados y/o Exportadores, para resolver reclamaciones y denuncias que presenten los titulares.

15. Autorizar la incorporación al ámbito de la regulación a otro tipo de servicios y empresas que tengan relación con el tratamiento de datos personales.

16. Emitir normativa prudencial de carácter general y específico, extendiéndose a la regulación de normativa para aplicación de los Responsables, Encargados y/o Exportadores.

17. Hacer cumplir la presente Ley y otras disposiciones legales y reglamentarias conexas.

18. Emitir normativa para regular la información, publicidad o propaganda relacionada con datos personales, y prohibir o suspender la publicidad o propaganda cuando vulneren derechos fundamentales y ARCO de los titulares, con mayor énfasis cuando se trate de menores de edad.

19. Emitir reglamentos de cumplimiento obligatorio respecto al tratamiento de datos personales.

20. Pronunciarse e imponer sanciones ante el rechazo inadecuado u omisión en el pronunciamiento en plazo respecto al reclamo de un derecho ARCO por parte del titular ante el responsable del tratamiento de datos personales.

21. Imponer sanciones ante el incumplimiento de sus resoluciones, la presente Ley y normativa conexa, por parte de los Responsables, Encargados o Exportadores de tratamiento de datos personales.

22. Realizar actividades de fiscalización sobre los Responsables, Encargados y Exportadores del tratamiento de datos personales. Estas tareas entre otras incluirá la realización de auditorías y pericias técnicas.

23. Aprobar y registrar los contratos y documentos legales de transferencia de datos personales entre Responsables, Encargados y/o Exportadores.

24. Establecer un canon de montos a ser cobrados por los diferentes registros, servicios prestados e infracciones a ser cobradas. Misma que deberán ser aprobadas por el Directorio de la Agencia de Protección de Datos Personales – APP.

25. Diseñar e implementar ofertas de formación y capacitación en temas de datos personales dirigidas a funcionarios, ciudadanía, empresarios, académicos y otros públicos interesados.

Artículo 45. (Auditoría de Protección de Datos)

La Agencia de Protección de Datos –APP, realizará auditorías periódicas de oficio, con la finalidad de detectar el incumplimiento al marco legislativo aplicable a la materia y la vulneración a derechos de los titulares. Así también, estará facultada para realizar auditorías de protección de datos tanto a empresas privadas, instituciones y empresas públicos y/o mixtas, ante reclamaciones fundamentadas de los titulares de datos personales como posibles afectados, a fin de evaluar que las bases de datos y los respectivos datos personales que alberguen se estén tratando en apego a los derechos y principios insertos en la presente ley, en la Constitución Política del Estado Plurinacional y normas conexas.

Artículo 46. (Estructura)

La Agencia de Protección de Datos Personales – APP está compuesta por: Una Directora o Director Ejecutivo con sede en la ciudad de La Paz y cuatro (4) Directores Regionales con sede en las capitales de los Departamentos de Chuquisaca, La Paz, Santa Cruz y Cochabamba. También formarán parte de la Agencia de Protección de Datos Personales – APP, intendentes que, previa aprobación del Directorio, serán designados por la Directora o el Director Regional en las capitales de departamento donde no existan Direcciones Regionales, los mismos que sólo ejercerán funciones técnicas y administrativas que garanticen el uso inmediato de los recursos previstos por esta norma, sin tener facultad para resolverlos. La estructura administrativa y el alcance de la competencia territorial de las Direcciones Regionales se establecerán por reglamento.

Artículo 47. (Directora o Director Ejecutivo)

I. Será designada(o) por dos tercios de votos de los miembros del Directorio. En caso de no contar con el quorum necesario en la reunión convocada para éste fin, se convocará a una segunda reunión donde se designará por simple mayoría a la Directora o al Director Ejecutivo de la Agencia de Protección de Datos Personales – APP. Si aun así no es factible, se nombrará por simple mayoría de los asistentes a la tercera reunión de directorio, dejando constar este extremo en acta.

II. En caso de renuncia, fallecimiento o término del mandato, se nombrará nuevo Director o Directora Ejecutiva a través de la correspondiente reunión de Directorio, siguiendo el quorum definido previamente.

III. Será suspendida(o) temporalmente de sus funciones si se hubiera dictado acusación formal en su contra que disponga su procesamiento penal, o resolución por la que se le atribuya responsabilidad administrativa que implique la destitución del cargo conforme a ley. Será restituida en sus funciones si descarga su responsabilidad.

Artículo 48. (Requisitos para ser Designada(o) Directora(o) Ejecutiva(o)

Para ser designada(o) como Directora(o) Ejecutiva(o) General o Regional se requiere cumplir los siguientes requisitos:

1. Ser de nacionalidad boliviana.

2. Tener reconocida idoneidad en materia.

3. Tener como mínimo título universitario a nivel de licenciatura y diez (10) años de experiencia profesional.

4. No tener sentencia ejecutoriada penal en su contra.

A estos efectos se tomará en cuenta el ejercicio de la cátedra, la investigación científica, títulos y grados académicos.

Artículo 49. (Incompatibilidades)

Las funciones de las o los Directores Ejecutivos, tanto General como Regionales, son incompatibles con el ejercicio de todo otro cargo público remunerado, con excepción de las funciones docentes universitarias y de las comisiones codificadoras. Son igualmente incompatibles con las funciones directivas de instituciones privadas, mercantiles, políticas y sindicales. La aceptación de cualquiera de estas funciones implica renuncia tácita a la función como Directora o Director, quedando nulos sus actos a partir de dicha aceptación.

Artículo 50. (Periodo de Funciones y Destitución de la Directora o Director).- La Directora o Director Ejecutivo General, desempeñará sus funciones por un período de seis (6) años y los Directores Regionales por un período de cinco (5) años, no pudiendo ser reelegidos sino pasado un tiempo igual al que hubiese ejercido su mandato.

TÍTULO VI. RECURSOS ADMINISTRATIVOS

CAPÍTULO I. GENERALIDADES

Artículo 51. (Características)

Los recursos contemplados en el presente capítulo, gozarán de las siguientes propiedades:

1. Primará el principio de informalidad;

2. Serán gratuitos;

3. Con procedimientos abreviados;

4. Accesibles y con medios idóneos para permitir a los titulares procesar los mismos en cumplimiento a todos los principios y derechos otorgados a los titulares de datos personales;

5. Serán sustentados fundamentadamente por las Autoridades;

6. Se regirán por el debido proceso y derechos constitucionales;

7. El titular tendrá acceso a todos los documentos necesarios que requiera para hacer prevalecer sus derechos;

8. Será sustentado bajo el principio pro homine.

Asimismo, cualquier duda será interpretada a favor del ejercicio de los derechos del titular afectado o que se considere afectado.

Artículo 52. (Recursos)

Los titulares de datos personales que consideren que sus derechos están siendo amedrentados o vulnerados, podrán interponerse Recurso de Alzada en los casos, forma y plazo que se establecerá en la reglamentación específica.

Contra la resolución que resuelve el Recurso de Alzada solamente cabe el Recurso Jerárquico, que se tramitará ante el Directorio de la Agencia de Protección de Datos –APP conforme al procedimiento que establecerá reglamentariamente para este efecto.

La interposición del Recurso de Alzada así como el del Jerárquico tienen efecto devolutivo. La vía administrativa se agotará con la resolución que resuelva el Recurso Jerárquico, pudiendo las Partes acudir a la impugnación judicial por la vía del proceso contencioso administrativo ante la Sala competente del Tribunal Supremo de Justicia.

Artículo 53. (Procedimiento de Oposición, Acceso, Rectificación o Cancelación)

I. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos mediante Resolución de la Autoridad de Control de Datos Personales en base a lo establecido en la presente Ley.

II. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación

CAPÍTULO II. PROCEDIMIENTO

Artículo 54. (Recurso de Alzada)

El Recurso de Alzada será presentado ante las Direcciones Regionales. Será admisible contra todo acto que vulnere o amenace vulnerar los derechos de los titulares de datos personales. Este Recurso deberá interponerse dentro del plazo perentorio de veinte (20) días improrrogables, computables a partir de la notificación con el acto o el conocimiento del acto que se considera vulneratorio.

Artículo 55. (Recurso Jerárquico)

Quién considere que la resolución que resuelve el Recurso de Alzada lesione sus derechos, podrá interponer de manera fundamentada, Recurso Jerárquico ante la Dirección Regional que resolvió el Recurso de Alzada, dentro del plazo de veinte (20) días improrrogables, computables a partir de la notificación con la respectiva Resolución. El Recurso Jerárquico será sustanciado por el Directorio de la Agencia de Protección de Datos Personales – APP

Artículo 56. (Revisión Extraordinaria)

Únicamente por medio del Directorio de la APP, se podrán revisar, de oficio o a instancia de parte, dentro del plazo de dos (2) años, los actos administrativos firmes, en los siguientes supuestos:

1. Cuando exista error de identidad en las personas.

2. Cuando después de dictado el acto se recobren o descubran documentos decisivos detenidos por fuerza mayor o por obra de la parte a favor de la cual se hubiera dictado el acto.

3. Cuando dichos actos tengan como base documentos declarados falsos por sentencia judicial ejecutoriada o bien cuando su falsedad se desconocía al momento de su dictado.

4. Cuando dichos actos se hubieran dictado como consecuencia de prevaricato, cohecho, violencia u otra acción delictiva y se haya declarado así en sentencia judicial ejecutoriada.

La resolución que se emita declarará la nulidad del acto revisado o su anulabilidad total o parcial. La declaratoria de nulidad o anulabilidad total o parcial del acto o resolución, cuando corresponda, deberá emitirse en un plazo máximo de sesenta (60) días a contar desde la presentación de la solicitud del interesado cuando sea a instancia de parte, en mérito a pruebas que la acrediten.

Ante la declaración de nulidad o anulabilidad total o parcial del acto o resolución, se emitirá un nuevo acto o resolución que corrija al anterior, procediendo contra este nuevo, los Recursos Administrativos previstos en este Título.

Artículo 57. (Reglamentación)

Los procedimientos de los Recursos de Alzada y Jerárquico se sujetarán a los plazos, términos, condiciones, requisitos y forma dispuestos por disposiciones reglamentarias.

Artículo 58. (Proceso Contencioso Administrativo)

Conforme a la atribución Séptima del parágrafo I del artículo 118° de la Constitución Política del Estado, el proceso contencioso administrativo contra la resolución que resuelva el Recurso Jerárquico será conocido por el Tribunal Supremo de Justicia, sujetándose al trámite contenido en el Código de Procedimiento Civil.

Las cantidades reembolsadas, bajo el derecho a indemnización, serán actualizadas, aplicando la tasa de interés activa promedio para Unidades de Fomento de la Vivienda, desde la fecha en que se vulneró el derecho al titular, hasta la fecha en que se notificó al mismo con el fallo administrativo o judicial en firme. En caso de incumplirse el plazo para efectuar el reembolso, la tasa de interés se aplicará hasta el día en que efectivamente se realice el mismo.

TÍTULO VII. SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

CAPÍTULO ÚNICO. INCUMPLIMIENTO

Artículo 59. (Notificación de Incumplimiento al Titular de los Datos Personales)

Cuando el Responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental, notificará a la Agencia de Protección de Datos Personales – APP y a los titulares afectados, dicho acontecimiento, sin dilación alguna. Lo anterior no resultará aplicable cuando el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de la vulneración de seguridad ocurrida, o bien, que ésta no represente un riesgo para los derechos y las libertades de los titulares involucrados.

I. La notificación que realice el Responsable a él o los titulares afectados, estará redactada en un lenguaje claro y sencillo. El titular podrá pedir ampliación a la información proporcionada que debe ser otorgada por el Responsable, sin dilaciones.

II. La notificación a que se refieren los numerales anteriores contendrá, al menos, la siguiente información:

1. La naturaleza del incidente.

2. Los datos personales comprometidos.

3. Las acciones correctivas realizadas de forma inmediata.

4. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses.

5. Los medios disponibles al titular para obtener mayor información al respecto.

III. El Responsable documentará toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, de manera enunciativa más no limitativa, la fecha en que ocurrió; el motivo de la vulneración; los hechos relacionados con ella y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad de control.

TÍTULO VIII. INFRACCIONES Y SANCIONES

CAPÍTULO ÚNICO. GRADOS

Artículo 60. (Infracciones)

Las infracciones se calificarán como leves, graves o muy graves. Serán normadas por disposiciones reglamentarias, que mínimamente contemplarán, lo siguiente:

I. Son infracciones leves:

a. No dar contestación a las solicitudes ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales.

b. No proporcionar o colaborar con las solicitudes de información que solicite la autoridad competente en el ejercicio de sus facultades.

II. Son infracciones graves:

c. La creación de bases de datos o tratar datos personales sin haber obtenido el consentimiento previo, expreso e informado del titular.

d. La creación de bases de datos de titularidad privada o el tratamiento de datos de carácter personal con finalidades distintas a las que fueron comunicadas y que derivaron en el consentimiento obtenido del titular.

e. El impedimento o la obstaculización por parte de los Responsables del tratamiento para el ejercicio de los derechos reconocidos en la presente ley y normas conexas.

f. No rectificar o eliminar los datos de carácter personal cuando éstos se hubieran informado como inexactos o el titular se hubiera opuesto al tratamiento.

g. No implementar las debidas condiciones de seguridad previstas en las disposiciones reglamentarias.

h. Incumplir los deberes y responsabilidades reflejados en la presente Ley.

III. Son infracciones gravísimas:

i. El tratamiento de datos de mala fe, por medio del error y engaño al titular de los datos personales.

j. La comunicación, transferencia o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

k. Desobedecer los requerimientos de cese de tratamiento de datos cuando estos hubieran sido dictados por la Agencia de Protección de Datos o por una orden judicial o resolución fundada.

Artículo 61. (Sanciones)

Las sanciones serán definidas por la Agencia de Protección de Datos – APP a través de disposiciones reglamentarias.

DISPOSICIÓN TRANSITORIA ÚNICA

Todos los plazos y procedimientos necesarios para ejecutar la presente ley, serán dispuestos por normas reglamentarias específicas emitidas por la Agencia De Protección De Datos Personales – APP.

DISPOSICIÓN FINAL PRIMERA

Se derogan y abrogan todas las normas contrarias a la presente ley.

DISPOSICIÓN FINAL SEGUNDA

El presente Código entrará en vigencia noventa (90) días después de su publicación en la Gaceta Oficial de Bolivia, con excepción de las Disposiciones Transitorias que entrarán en vigencia a la publicación de su Reglamento.