- Máster Universitario en Derecho de las Telecomunicaciones, Protección de datos, Audiovisual y Sociedad de la Información (Español)
- Máster Universitario en Propiedad Intelectual (Español)
- Máster Universitario en Ciberseguridad. (Bilingüe)
El Grupo de Trabajo del artículo 29 de Protección de Datos ha adoptado recientemente una opinión en la que trata de analizar la eficacia y límites de las técnicas de anonimización existentes en el contexto jurídico de la Unión Europea en materia de protección de datos.
La anonimización tiene relevancia en un contexto Open Data, donde es necesaria la reutilización de los datos, considerando que la legislación vigente en materia de protección de datos establece que los datos anónimos quedan fuera de su ámbito de aplicación. Sin embargo, la creación de un conjunto de datos verdaderamente anónimos no es una propuesta nada sencilla.
Recuerda el Grupo de Trabajo que para que un dato sea verdaderamente anónimo ha de ser completamente irreversible su identificación. En este sentido, hace alusión al uso de “todos los medios que puedan ser razonablemente utilizados”. Es decir, un dato será anónimo cuando no sea posible su vinculación con la persona a la que hubiera identificado el dato, teniendo en cuenta que el riesgo de identificación puede aumentar con el tiempo.
En este sentido, las técnicas de anonimización pueden ser garantes suficientes siempre que se diseñen teniendo en cuenta tanto el contexto como el objetivo.
A lo largo de la opinión, el Grupo de Trabajo ilustra con este ejemplo para facilitar la comprensión de los lectores. Si una organización reúne datos de viajes individuales que clasifica mediante códigos identificativos, y proporciona a terceros datos sobre los movimientos, esos datos pueden ser calificados como datos personales siempre y cuando el responsable del tratamiento, o cualquier otro, siga teniendo acceso a los datos brutos originales, aun cuando esos códigos identificativos hayan sido eliminados de la información proporcionada a terceros. Sin embargo, si el responsable del tratamiento eliminara los datos brutos, y además solo proporcionara información estadística colectiva, eso podría considerarse como un conjunto de datos anónimos.
El Grupo de Trabajo señala, a tenor de lo recogido, tres errores a tener en cuenta previo proceso de anonimización:
No tener en cuenta la aplicación de otras disposiciones legales distintas a la legislación de protección de datos, como por ejemplo, en materia de confidencialidad de las comunicaciones.
Además, señala la importancia de elegir la técnica adecuada de anonimización que minimice los tres principales riesgos inherentes a todo proceso, derivados de la posibilidad potencial de identificación de un dato
Singling out: posibilidad de aislar datos que identifican a un individuo en un conjunto, una vez llevado a cabo un proceso de anonimización.
Linkability: capacidad de vincular, al menos, dos datos referentes al mismo interesado o grupo de interesados (ya sea en la misma base de datos o en dos bases de datos diferentes).
Inference: posibilidad de deducir, con una probabilidad significativa, el valor de un atributo en un conjunto de atributos.
Solo conociendo los riesgos existentes, el responsable del tratamiento podrá decidirse por una técnica de anonimización u otra, sabiendo que aunque ninguna de ellas carece de deficiencias, con una elección correcta se puede lograr el propósito deseado sin poner en peligro la privacidad de los interesados. Las familias de técnicas que reconoce el Grupo de Trabajo son:
La asignación al azar: es una familia de técnicas que altera la veracidad de los datos con el fin de eliminar el vínculo entre los datos y el individuo. Si los datos son suficientemente inciertos entonces ya no se puede hacer referencia a un individuo específico. Destacan las técnicas de adición del ruido (modificación de atributos en el conjunto de datos de tal manera que son menos precisos conservando al mismo tiempo la distribución general), permutación (revolver los valores de los atributos en una tabla para que algunos de ellos están artificialmente vinculados a diferentes titulares de los datos , por lo que resulta especialmente útil cuando es importante mantener la distribución exacta de cada atributo en el conjunto de datos) y privacidad diferencial (el subconjunto incluye algo de ruido aleatorio añadido deliberadamente ex-post).
La generalización: consiste en disgregar los atributos de los interesados mediante la modificación de la escala respectiva o de orden de magnitud, mediante las técnicas de aggregation y k-anonymity (pretenden impedir que un interesado sea señalado, agrupándolo con, al menos, k otros individuos), y L-diversity/T-closeness (que añaden complejidad a la técnica anterior).
Entonces, la solución óptima debe decidirse sobre una base de caso por caso, considerando previamente las limitaciones inherentes a cada técnica, mientras se consideran los fines que se persiguen con la anonimización. Dado que la anonimización no debe ser considerada como un ejercicio aislado, el Grupo de Trabajo reconoce que los códigos de conducta pueden ser un instrumento útil para proporcionar orientación en cuanto a las formas en que los datos pueden hacerse anónimos.
Teniendo en cuenta todo esto, y dado que la anonimización es un campo activo de la investigación, el Grupo de Trabajo señala una serie de recomendaciones a tener en cuenta.
Fuente: Opinión 05/2014 sobre Técnicas de Anonimización de Datos Personales, del Grupo de Trabajo del Artículo 29
Sara Mogollón
Consultor Derecho TIC
www.audea.com
www.cursosticseguridad.com
Os presentamos la nueva Plataforma E-learning de Áudea, creada a partir de dos sistemas de gestión de distribución libre MOODLE y SCORM, que también se conocen como LMS (Learning Management System).
La modalidad online nos ofrece una formación de alto nivel, accesible, cómoda, económica y flexible, y nos permite disponer al instante de todos los materiales necesarios para completar la formación.
La libertad de horarios que nos ofrece esta modalidad permite la deslocalización y además facilita la interacción tanto profesor-alumno como de los alumnos entre sí, permitiendo además la posibilidad de realizar simulaciones virtuales en entornos controlados y facilitar la posibilidad de mantener actualizados los contenidos.
Los cursos que disponemos actualmente son los siguientes:
Damos la posibilidad de ver un curso demostración para que pueda navegar a través de nuestro entorno y conocer su funcionalidad. Solicite usuario y contraseña en [email protected]
Accede a la plataforma y comienza a formarte con nosotros!
Áudea Seguridad de la Información
Departamento de Marketing
www.audea.com
Respecto de la conservación de datos de carácter personal la normativa española la materia no establece plazos fijos o predeterminados. En este sentido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (en adelante LOPD) se indica que «Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.»
Por lo que cuando los datos personales hayan dejado de ser necesarios o pertinentes deberían ser cancelados o conservados en forma que no permita la identificación del interesado. La cancelación no siempre significa la eliminación física de datos, puede que éstos tengan que ser bloqueados.
Para conocer las formas y plazos de conservación de datos de salud y en especial los incluidos en las historias clínicas, la normativa de protección de datos ha de complementarse necesariamente con las previsiones específicas recogidas en el Capítulo V de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y con las otras normas dimanantes de la legislación en materia de Salud Laboral.
En este sentido, la Ley 41/2002 establece que la documentación contenida en la historia clínica pueda ser conservada en otro soporte distinto del original, siempre que quede preservada su autenticidad, seguridad e integridad, ya que conforme el artículo 14.2 «cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información». Por tanto la digitalización de este tipo de documentación no solo es lícita y sencilla en su realización, pero que además garantiza la seguridad y confidencialidad de la información mucho mejor que los medios tradicionales y puede ser una solución para ahorrar el papel y espacio en las clínicas y centros de salud.
En relación a los plazos de conservación, el artículo 17.1 de la misma Ley, dispone que «los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial».
En consecuencia, la Ley obliga a conservar los datos de la historia clínica incluso con posterioridad al alta del paciente o al último episodio asistencial, durante el tiempo adecuado para la debida asistencia sanitaria del mismo y, como mínimo, durante cinco años desde cada fecha de alta. La determinación del período de conservación de la información contenida en la misma, sería a criterio del personal sanitario competente respetando en todo caso el plazo mínimo citado.
No obstante, la legislación en materia de Salud Laboral, puede determinar otros periodos mínimos de conservación de las historias clínicas, en función de la naturaleza o sector de trabajo de los afectados y riesgos que determinadas tareas laborales pueden tener en la salud de los trabajadores teniendo en cuenta la potencial gravedad y tiempo de latencia entre la exposición y la aparición de síntomas.
Según el artículo 22 relativo a la vigilancia de salud de la Ley 31/1995 de Prevención de Riesgos Laborales «En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deber ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.»
Y así el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo obliga a almacenar la lista de los trabajadores expuestos y sus historiales médicos durante un plazo mínimo de diez años después de finalizada la exposición pudiendo ser ampliado este plazo hasta cuarenta años en determinados casos.
El Real Decreto 665/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo dispone que la lista actualizada de los trabajadores encargados de realizar dichas actividades y sus historiales médicos deberán conservarse durante 40 años después de terminada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. Artículo 9. Documentación
El Real Decreto 396/2006, de 31 de marzo, por el que se establecen las disposiciones mínimas de seguridad y salud aplicables a los trabajos con riesgo de exposición al amianto obliga a que los datos relativos a la evaluación y control ambiental, los datos de exposición de los trabajadores y los datos referidos a la vigilancia sanitaria específica de los trabajadores se conserven durante un mínimo de cuarenta años después de finalizada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo.
El Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes obliga a que el historial dosimétrico de los trabajadores expuestos, los documentos correspondientes a la evaluación de dosis y a las medidas de los equipos de vigilancia, y los informes referentes a las circunstancias y medidas adoptadas en los casos de exposición accidental o de emergencia, se archiven por el titular de la práctica, hasta que el trabajador haya o hubiera alcanzado la edad de setenta y cinco años, y nunca por un período inferior a treinta años, contados a partir de la fecha de cese del trabajador en aquellas actividades que supusieran su clasificación como trabajador expuesto. Además el titular de la práctica tendrá que facilitar esta documentación al Consejo de Seguridad Nuclear y, en función de sus propias competencias, a las Administraciones Públicas, en los supuestos previstos en las Leyes, además de a los Juzgados y Tribunales que la soliciten.
También el Real Decreto 1316/1989, de 27 de octubre, sobre protección de los trabajadores frente a los riesgos derivados de la exposición al ruido durante el trabajo que posteriormente fue derogado por Real Decreto 286/2006, de 10 de marzo obligaba al empresario archivar la documentación correspondiente a la salud de los trabajadores expuestos durante al menos treinta años.
Con carácter general, todas estas normas específicas determinaban que si un empresario cesara en su actividad, el que le sucediera recibiría y conservaría la documentación anterior. Si el cese de la actividad se produjera sin sucesión, la empresa lo tendría que notificar a la autoridad laboral competente, dándole traslado de toda la documentación que incluyeran historias clínicas.
Por último, cabe mencionar que en el marco de las distintas normas laborales existen también protocolos de vigilancia sanitaria específica que fijan plazos adicionales de conservación de la documentación sanitaria. Los protocolos no forman parte de la legislación pero tienen un gran valor orientativo para empresarios, trabajadores y sus representantes y administraciones públicas competentes en la materia.
Áudea, Seguridad de la Información
Karol Sedkowski
Consultor Legal
http://www.audea.com
Teléfono 902.11.89.20 http://www.formacioncontinuaonline.com
El habeas data se encuentra regulada por la Ley 1581 de 2012, dicta disposiciones de regulación y manejo de información contenida en bases de datos personales.
Las personas podrán tener acceso a la información que se encuentra suministrada con el fin de actualizar, rectificar, modificar y suprimir los datos personales ante cualquier entidad que administre bases de datos.
La protección de datos es un derecho constitucional relacionado con la seguridad y conservación de la integridad personal y al buen nombre, para el uso y tratamiento se requerirá autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
En los casos en los que se pretenda que la información sea corregida, actualizada o borrada, deberá presentar reclamo ante el responsable del tratamiento o el encargado del tratamiento de datos personales, el reclamo deberá contener:
1. Identificación del Titular, descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
La siguiente instancia es la superintendencia de industria y comercio donde podrá elevarse queja, para acceder a esta entidad es necesario haber agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
Úrad na ochranu osobných údajov Slovenskej republiky (dalej len «úrad») podla § 20 ods. 3 zákona c.122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (dalej len «zákon») ustanovuje:
§ 1
(1) Rozsah primeraných technických, organizacných a personálnych opatrení (dalej len «bezpecnostné opatrenia») musí zodpovedat konkrétnym podmienkam spracúvania osobných údajov v informacnom systéme osobných údajov (dalej len «informacný systém») a bezpecnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.
(2) Pri prijímaní bezpecnostných opatrení prevádzkovatel aplikuje najmä bezpecnostné opatrenia uvedené v prílohe, pricom rozlišujemedzi použitím automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Pri automatizovaných prostriedkoch spracúvania osobných údajov prevádzkovatel prostredníctvom bezpecnostných opatrení zabezpecí odolnost automatizovanej casti informacného systému proti škodlivým kódom (napríklad pocítacový vírus) a nežiaducim modifikáciám informacného systému, ako aj pravidelné a bezpecné zálohovanie spracúvaných osobných údajov.
(3) Prijatím bezpecnostných opatrení prevádzkovatel neoprávneným osobám znemožní akýkolvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami urcenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosicmi osobných údajov a oprávneným osobám zabezpecí prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poucení podla § 21 zákona.
§ 2
(1) Dokumentácia prijatých bezpecnostných opatrení (dalej len «dokumentácia») popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu; obsah dokumentácie sa zhoduje so skutocným stavom pri spracúvaní osobných údajov.
(2) Bezpecnostné opatrenia musia byt zdokumentované prehladne a jednoznacne. Dokumentácia uvedená v § 3, 4 a 5 môže obsahovat presné odkazy na iné dokumenty prevádzkovatela alebo na ich casti, kde sú prijaté bezpecnostné opatrenia už zdokumentované;1) v uvedenom prípade sa iné dokumenty prevádzkovatela alebo ich casti považujú za dokumentáciu podla § 3, 4 a 5.
§ 3
Ak sú osobné údaje spracúvané v informacnom systéme, ktorý nie je prepojený s verejne prístupnou pocítacovou sietou, pricom nejde o spracúvanie osobitných kategórií osobných údajov podla § 13 zákona, dokumentácia podla § 19 ods. 1 zákona obsahuje
a) písomnú zmluvu podla § 8 zákona, ak prevádzkovatel poveril spracúvaním osobných sprostredkovatela,
b) písomné záznamy o poucení oprávnených osôb podla § 21 zákona,
c) písomné poverenie zodpovednej osoby podla § 23 zákona, ak prevádzkovatelovi taká povinnost vznikla,
d) záznamy o kontrolnej cinnosti prevádzkovatela zameranej na dodržiavanie bezpecnosti informacného systému podla § 4 ods. 1 písm. d),
e) záznamy o zistených bezpecnostných incidentoch vplývajúcich na bezpecnost osobných údajov a záznamy o nadväzných postupoch, ktorými prevádzkovatel zabezpecil obnovenie bezpecnosti informacného systému.
§ 4
Bezpecnostná smernica podla § 19 ods. 2 zákona obsahuje
a) popis bezpecnostných opatrení a spôsob ich uplatnovania v konkrétnych podmienkach,
b) rozsah oprávnení, popis povolených cinností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožnujú, prevádzkovatel na úcel spätnej identifikácie osoby, miesta a casu zabezpecí zaznamenanie každého vstupu oprávnenej osoby do informacného systému,
c) rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,
d) spôsob, formu a periodicitu výkonu kontrolných cinností zameraných na dodržiavanie bezpecnostných opatrení,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.
§ 5
(1) Bezpecnostný projekt informacného systému (dalej len «bezpecnostný projekt») podla § 19 ods. 3 zákona obsahuje
a) názov informacného systému, na ktorý sa vztahuje,
b) bezpecnostný zámer,
c) analýzu bezpecnosti informacného systému,
d) bezpecnostnú smernicu podla § 4.
(2) Bezpecnostný zámer vymedzuje základné bezpecnostné ciele, ktoré je potrebné dosiahnut na ochranu osobných údajov pred ohrozením ich bezpecnosti. Bezpecnostný zámer obsahuje
a) formuláciu základných bezpecnostných cielov a minimálne požadovaných bezpecnostných opatrení,
b) špecifikáciu technických opatrení, organizacných opatrení a personálnych opatrení na zabezpecenie ochrany osobných údajov v infomacnom systéme a spôsob ich využitia,
c) vymedzenie okolia informacného systému a jeho vztah k možnému narušeniu bezpecnosti informacného systému,
d) vymedzenie hraníc urcujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpecnostné riziko, ktoré zostane úplne alebo ciastocne nepokryté bezpecnostnými opatreniami z dôvodu, že jeho miera je pre prevádzkovatela akceptovatelná alebo ju nie je možné eliminovat vhodnými a efektívnymi bezpecnostnými opatreniami.
(3) Analýza bezpecnosti informacného systému je podrobný rozbor stavu bezpecnosti informacného systému s vymedzením rozsahu jeho odolnosti a zranitelnosti.
Analýza bezpecnosti obsahuje najmä kvalitatívnu analýzu rizík tvorenú
a) identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto aktíva, identifikácii zranitelností zneužitelných hrozbami a na identifikácii dopadov na aktíva v dôsledku straty dôvernosti, integrity a dostupnosti,
b) analýzou a ohodnotením rizík založených na urcení dopadov, ktoré môžu vyplynút zo zlyhania bezpecnosti,
c) urcením reálnej pravdepodobnosti výskytu zlyhania bezpecnosti a odhadom úrovne rizík vymedzujúcim, ci je riziko akceptovatelné alebo vyžaduje prijatie dalších opatrení za využitia vopred urcených kritérií na akceptáciu rizika a identifikovaných prijatelných úrovní rizika,
d) identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpecnostných opatrení, vedomým a objektívnym akceptovanímrizík, vyhnutím sa rizikám alebo prenesením súvisiacich rizík na tretie strany,
e) výberom cielov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických noriem 2) a urcením iných metód a prostriedkov ochrany osobných údajov.
(4) Ak prevádzkovatel spracúva osobné údaje vo viacerých informacných systémoch, z ktorých aspon jeden vyžaduje vypracovanie bezpecnostného projektu,
môže vypracovat jeden bezpecnostný projekt pre všetky informacné systémy, v ktorom zretelne oznací casti týkajúce sa jednotlivých informacných systémov.
§ 6
Táto vyhláška nadobúda úcinnost 1. júla 2013.
Eleonóra Krocianová v. r.
Príloha
k vyhláške c. 164/2013 Z. z.
BEZPECNOSTNÉ OPATRENIA
1. Technické opatrenia
1.1 Technické opatrenia realizované prostriedkami fyzickej povahy
1.1.1 Zabezpecenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykatelné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpecovacích prostriedkov (napr. elektrický zabezpecovací systém objektu, elektrická požiarna signalizácia)
1.1.2 Zabezpecenie chráneného priestoru jeho oddelením od ostatných castí objektu (napr. steny, zábrany v podobe prepážok, mrežíalebo presklenia)
1.1.3 Umiestnenie informacného systému v chránenom priestore (ochrana informacného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
1.1.4 Bezpecné uloženie fyzických nosicov osobných údajov (napr. uloženie listinných dokumentov v uzamykatelných skriniach alebo trezoroch)
1.1.5 Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informacného systému (napr. vhodné umiestnenie zobrazovancích
jednotiek)
1.1.6 Zariadenie na nicenie fyzických nosicov osobných údajov (napr. zariadenie na skartovanie listín)
1.2 Ochrana pred neoprávneným prístupom
1.2.1 Šifrová ochrana obsahu dátových nosicov a šifrová ochrana dát premiestnovaných prostredníctvom pocítacových sietí
1.2.2 Pravidlá prístupu tretích strán k informacnému systému, ak k takému prístupu dochádza
1.3 Riadenie prístupu oprávnených osôb
1.3.1 Identifikácia, autentizácia a autorizácia oprávnených osôb v informacnom systéme
1.3.2 Zaznamenávanie vstupov jednotlivých oprávnených osôb do informacného systému
1.4 Ochrana proti škodlivému kódu
1.4.1 Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej pocítacovej siete alebo z dátových nosicov
1.4.2 Ochrana pred nevyžiadanou elektronickou poštou
1.4.3 Používanie legálneho a prevádzkovatelom schváleného softvéru
1.4.4 Pravidlá stahovania súborov z verejne prístupnej pocítacovej siete
1.5 Sietová bezpecnost
1.5.1 Kontrola, obmedzenie alebo zamedzenie prepojenia informacného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou pocítacovou sietou
1.5.2 Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej pocítacovej siete
1.5.3 Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sietovej bezpecnosti (napr. firewall)
1.5.4 Pravidlá prístupu do verejne prístupnej pocítacovej siete (napr. zamedzenie pripojenia k urcitým webovým sídlam)
1.5.5 Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej
pocítacovej siete (napr. hackerský útok)
1.6 Zálohovanie
1.6.1 Test funkcionality dátového nosica zálohy
1.6.2 Vytváranie záloh s vopred zvolenou periodicitou
1.6.3 Test obnovy informacného systému zo zálohy
1.6.4 Bezpecné ukladanie záloh
1.7 Likvidácia osobných údajov a dátových nosicov
1.7.1 Bezpecné vymazanie osobných údajov z dátových nosicov
1.7.2 Zariadenie na likvidáciu dátových nosicov osobných údajov
1.8 Aktualizácia operacného systému a programového aplikacného
vybavenia
2. Organizacné opatrenia
2.1 Personálne opatrenia
2.1.1 Písomné poucenie oprávnených osôb pred uskutocnením prvej spracovatelskej operácie s osobnými údajmi
2.1.1.1 Poucenie o právach a povinnostiach vyplývajúcich zo zákona a zodpovednosti za ich porušenie
2.1.1.2 Vymedzenie osobných údajov, ku ktorým má mat konkrétna oprávnená osoba prístup na úcel plnenia jej povinností alebo úloh
2.1.1.3 Urcenie postupov, ktoré je oprávnená osoba povinná uplatnovat pri spracúvaní osobných údajov
2.1.1.4 Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
2.1.1.5 Vymedzenie zodpovednosti za porušenie zákona
2.1.2 Poucenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovatela a mimo týchto priestorov)
2.1.3 Písomné poverenie zodpovednej osoby podla § 23 zákona, ak prevádzkovatel spracúva osobné údaje prostredníctvom 20 alebo viac oprávnených osôb
2.1.4 Oboznámenie oprávnených osôb s bezpecnostnými smernicami
2.1.5 Vzdelávanie oprávnených osôb (napr. právna oblast, oblast
informacných technológií)
2.1.6 Postup pri ukoncení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poucenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlcanlivosti)
2.2 Vedenie zoznamu aktív a jeho aktualizácia
2.3 Riadenie prístupu oprávnených osôb k osobným údajom
2.3.1 Kontrola vstupu do objektu a chránených priestorov prevádzkovatela (napr. prostredníctvom technických a personálnych opatrení)
2.3.2 Správa klúcov (individuálne pridelovanie klúcov, bezpecné uloženie rezervných klúcov)
2.3.3 Pridelovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
2.3.4 Správa hesiel
2.3.5 Vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, docasnej pracovnej neschopnosti, ukoncenia pracovného alebo obdobného pomeru)
2.4 Organizácia spracúvania osobných údajov
2.4.1 Pravidlá spracúvania osobných údajov v chránenom priestore
2.4.2 Nepretržitá prítomnost oprávnenej osoby v chránenom priestore, ak sa v nom nachádzajú aj iné ako oprávnené osoby
2.4.3 Režim údržby a upratovania chránených priestorov
2.4.4 Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá
2.4.4.1 Pravidlámanipulácie s fyzickými nosicmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti
2.4.4.2 Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti
2.4.4.3 Pravidlá používania prenosných dátových nosicov mimo chránených priestorov a vymedzenie zodpovednosti
2.5 Likvidácia osobných údajov
2.5.1 Urcenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpecné vymazanie osobných údajov z dátových nosicov, likvidácia dátových nosicov a fyzických nosicov osobných údajov)
2.6 Bezpecnostné incidenty
2.6.1 Postup pri ohlasovaní bezpecnostných incidentov a zistených zranitelných miest informacného systému na úcel vcasného prijatia preventívnych alebo nápravných opatrení
2.6.2 Evidencia bezpecnostných incidentov a použitých riešení
2.6.3 Postup pri riešení jednotlivých typov bezpecnostných incidentov
2.6.4 Identifikácia, evidencia a odstranovanie následkov bezpecnostných incidentov
2.6.5 Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpecnostných incidentov)
2.6.6 Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného pocítaca)
2.7 Kontrolná cinnost
2.7.1 Kontrolná cinnost prevádzkovatela zameraná na dodržiavanie prijatých bezpecnostných opatrení s urcením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informacnému systému)
2.7.2 Informovanie oprávnených osôb o kontrolnom mechanizme,3) ak je u prevádzkovatela zavedený (rozsah kontroly a spôsoby jej uskutocnovania)
1) Napríklad § 28
výnosu Ministerstva financií Slovenskej republiky
c. 312/2010 Z. z. o štandardoch pre
informacné systémy verejnej
správy.
2) Napríklad STN
ISO/IEC 27001, STN ISO/IEC 27002, výnos Ministerstva financií Slovenskej
republiky c. 312/2010 Z. z.
3) Cl. 11 a § 13 zákona
c. 311/2001 Z. z. Zákonník práce v znení
neskorších predpisov.
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
PRVÁ ČASŤ
§ 1
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
§ 2
(1) Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.
(2) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území
a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b) členského štátu, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov; v takom prípade prevádzkovateľ postupuje podľa§ 7.
(3) Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.
§ 3
(1) Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,1)
b) obrany Slovenskej republiky,2)
c) verejného poriadku a bezpečnosti,3)
d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,4)
e) odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných odborných činnostiach,5)
f) významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,6)
g) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c) až f), alebo
h) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2) Tento zákon sa nevzťahuje na osobné údaje, ktoré
a) fyzická osoba spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie,
b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.
(3) Týmto zákonom nie je dotknuté právo na ochranu osobnosti.7)
§ 4
(1) Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
(2) Na účely tohto zákona sa rozumie
a) dotknutou osobou každá fyzická osoba, ktorej sa osobné údaje týkajú,
b) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky,
c) zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,
d) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom,
e) oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21,
f) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,
g) príjemcom každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.
(3) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie
1. poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,
2. sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
3. zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,8)verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
4. cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
5. likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
6. blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom,
b) informačným systémom osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,
c) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
d) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,
e) podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,
f) biometrickým údajom osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny,
g) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
h) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,
i) anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
j) priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,
k) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
l) treťou krajinou krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
m) verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
DRUHÁ ČASŤ
PRVÁ HLAVA
§ 5
(1) Osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.
(2) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(3) Prevádzkovateľom na účely spracúvania osobných údajov v registri trestov podľa osobitného zákona,10) môže byť len štátny orgán ustanovený zákonom.11)
§ 6
(1) Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.
(2) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
b) určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e) zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
(3) Prevádzkovateľ nemá povinnosť podľa odseku 2 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 2 písm. a). Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania osobných údajov podľa odseku 2 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 2 písm. c) až i) je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; tým nie je dotknuté ustanovenie § 10 ods. 4 prvej vety.
(4) Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
(5) Počas trvania pôvodne určeného účelu spracúvania osobných údajov, ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania, a zlikvidovať ich ihneď, ako sa stanú nepotrebnými.
§ 7
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov podľa § 2 ods. 2 písm. b) je povinný pred začatím spracúvania vymenovať svojho zástupcu so sídlom, miestom podnikania alebo trvalým pobytom na území Slovenskej republiky.
(2) Zástupca prevádzkovateľa je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa a ten preukázať úradu kedykoľvek na jeho žiadosť. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť úradne osvedčená.
(3) Ustanovenia tohto zákona o prevádzkovateľovi sa v rovnakom rozsahu vzťahujú aj na zástupcu prevádzkovateľa.
§ 8
(1) Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2) Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(3) Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
(4) Zmluva podľa odseku 3 musí obsahovať
a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“)
1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa,
b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
c) účel spracúvania osobných údajov,
d) názov informačného systému,
e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
f) okruh dotknutých osôb,
g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5,
j) dobu, na ktorú sa zmluva uzatvára,
k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.
(5) Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa.
(6) Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme právny nástupca prevádzkovateľa.12)Prevádzkovateľ nemusí dotknutej osobe informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa odseku 7.
(7) Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.
(8) Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až 26, ak tento zákon neustanovuje inak.
(9) Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až 18 a § 28 až 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
(10) Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 9 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.
§ 9
(1) Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.
(2) Sprostredkovateľ môže spracúvať osobné údaje na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby, len v rozsahu a za podmienok dojednaných v zmluve uzatvorenej s prevádzkovateľom podľa § 8 ods. 1.
§ 10
(1) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) až f) a i).
(2) Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.13) Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.
(3) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,
d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa§ 28 ods. 3 písm. c),
e) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,
f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.
(4) Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou je Slovenská republika viazaná, v tomto zákone a osobitnom zákone nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných údajov podľa odsekov 1 a 2 možno nahradiť rozsahom osobných údajov; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 2 písm. d) okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 2 možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred určiť jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký účel, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.
§ 11
(1) Ak sa na spracúvanie osobných údajov neuplatňuje § 10, prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.
(2) Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.
(3) Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo zákonom.
(4) Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom. Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.14)
§ 12
(1) Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(2) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.
(3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(4) Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
(5) Ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)
(6) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15) súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.16)
(7) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.17) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
§ 13
(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom18) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.19)
(4) Spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.20)
(5) Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona,
b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas,
c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b), alebo
d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).
(6) Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov podľa odseku 5 písm. b) až d) posudzuje úrad v konaní podľa § 37 až 39.
§ 14
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
a) dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon,
b) právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo fyzicky nie je spôsobilá na vydanie písomného súhlasu a ak nemožno získať písomný súhlas jej zákonného zástupcu,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba sama zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku,
f) ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach tvoriacich profesijné tajomstvo a povinnosťou dodržiavať zásady profesijnej etiky, alebo
g) ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania štátnych sociálnych dávok, podporu sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,21)poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného predpisu.22)
§ 15
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie:
a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,
b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,
c) účel spracúvania osobných údajov,
d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety a
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje, alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu, a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá, a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7. poučenie o právach dotknutej osoby.
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie, pokiaľ sú potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g) poučenie o právach dotknutej osoby.
(3) Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté alebo ak prevádzkovateľ spracúva osobné údaje podľa § 10 ods. 1 a 2. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
a) vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté,
b) spracúva osobné údaje podľa § 10 ods. 1 a 2,
c) spracúva osobné údaje na účel ustanovený v § 10 ods. 3 písm. a),
d) spracúva osobné údaje na historický výskum alebo vedecký výskum a vývoj, alebo na účely štatistiky a poskytnutie takýchto informácií je objektívne nemožné alebo by bolo možné len s vyvinutím neprimeraného úsilia, alebo
e) spracúva osobné údaje podľa § 10 ods. 3 písm. e).
(4) Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať titul, meno, priezvisko a číslo občianskeho preukazu,23) číslo služobného preukazu alebo číslo cestovného dokladu,24) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,25) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu a názov orgánu, ktorý služobný preukaz vydal. V oboch prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí ich primeranú ochranu podľa § 19.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby.26) To neplatí, ak ide o získavanie osobných údajov na účely a v rozsahu údajov podľa odseku 4 ich zaznamenávaním z úradného dokladu automatizovanými prostriedkami spracúvania a o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
(7) Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 10 ods. 3 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1, a ak sú spracúvané na účely priameho marketingu, oboznámi ju výslovne aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9) Prevádzkovateľ, ktorého predmetom činnosti je priamy marketing, vedie zoznam poskytnutých osobných údajov podľa § 10 ods. 3 písm. d) v rozsahu titul, meno, priezvisko a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 17 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedie aj právnická osoba a fyzická osoba, ktorej boli tieto osobné údaje poskytnuté.
§ 16
(1) Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
(2) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ.
(3) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
§ 17
(1) Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov.
(2) Odsek 1 sa nepoužije, ak osobné údaje sú súčasťou registratúrneho záznamu.27) Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu.28)
(3) Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných údajov okrem osobných údajov uvedených v § 10 ods. 3 písm. d) aj vtedy, ak zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby podľa § 11 ods. 4, a súhlas nebol daný.
(4) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. a), prevádzkovateľ je povinný spracúvané osobné údaje bez zbytočného odkladu zlikvidovať okrem osobných údajov uvedených v § 10 ods. 3 písm. d).
(5) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. b), prevádzkovateľ je povinný bez zbytočného odkladu skončiť využívanie osobných údajov uvedených v § 10 ods. 3 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. c), prevádzkovateľ je povinný to bez zbytočného odkladu, najneskôr do troch pracovných dní, písomne oznámiť každému, komu osobné údaje uvedené v § 10 ods. 3 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7) Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
§ 18
(1) Ak prevádzkovateľa upozorní dotknutá osoba alebo ak si dotknutá osoba uplatní u prevádzkovateľa svoje právo, alebo ak prevádzkovateľ sám zistí, že poskytol tretej strane nesprávne, neúplné alebo neaktuálne osobné údaje, alebo že ich poskytol bez právneho základu, je povinný bez zbytočného odkladu písomne oznámiť to každému, komu ich poskytol. Prevádzkovateľ v oznámení uvedie, aké opatrenia na nápravu vykonal, najmä či osobné údaje blokoval, doplnil, opravil, aktualizoval alebo zlikvidoval, a aké opatrenia žiada prijať od tretej strany.
(2) Tretia strana je povinná na základe oznámenia podľa odseku 1 vykonať požadované opatrenia, najmä zablokovať osobné údaje v informačnom systéme a bez zbytočného odkladu ich doplniť, opraviť, aktualizovať alebo zlikvidovať.
(3) Od oznámenia podľa odseku 1 možno upustiť len vtedy, ak oznámenie je objektívne nemožné alebo je možné len s vyvinutím neprimeraného úsilia.
(4) Prevádzkovateľ, ktorý upustí od oznámenia podľa odseku 1 z dôvodu podľa odseku 3, je povinný na vyzvanie úradu preukázať, že upustenie od oznámenia je dôvodné.
DRUHÁ HLAVA
§ 19
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
(2) Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
a) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
b) informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.29)
(3) Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odsekov 1 a 2 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.
(4) Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odsekov 1 a 2.
§ 20
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 21
(1) Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
(2) Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.
(3) Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať.
(4) Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.
§ 22
(1) Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
(2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu. Povinnosť mlčanlivosti podľa prvej vety sa vzťahuje aj na fyzické osoby podľa odseku 3.
(5) Povinnosť mlčanlivosti podľa odsekov 1 až 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.30)
(6) Odseky 1 až 4 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona.
TRETIA HLAVA
§ 23
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2) Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Tým nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1.
(3) Ak prevádzkovateľ nepoverí zodpovednú osobu podľa odseku 2, je povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú oznamovacej povinnosti podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.
(4) Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh podľa § 27.
(5) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
(6) Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať spolu s poverením podľa odseku 8 počas celej doby výkonu funkcie zodpovednej osoby.
(7) Povinnosť preukazovania bezúhonnosti podľa odseku 6 neplatí, ak fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu k prevádzkovateľovi podľa osobitného zákona.
(8) Poverenie podľa odseku 2 obsahuje
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
c) dátum začiatku platnosti poverenia zodpovednej osoby,
d) vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia,
f) výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
g) odtlačok pečiatky prevádzkovateľa,
h) dátum vyhotovenia poverenia a
i) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
§ 24
(1) Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky.
(2) Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa tohto zákona zabezpečuje úrad.
(3) Žiadosť o absolvovanie skúšky obsahuje
a) údaje o žiadateľovi v rozsahu titul, meno, priezvisko, dátum narodenia, adresu trvalého pobytu a adresu na doručovanie písomností, elektronickú poštu a telefónne číslo,
b) identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ak zasielajú žiadosť o absolvovanie skúšky za žiadateľa,
c) dátum a podpis žiadateľa.
(4) Vzor žiadosti o absolvovanie skúšky podľa odseku 3 zverejní úrad na svojom webovom sídle.
(5) Potvrdenie o absolvovaní skúšky obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje žiadateľa v rozsahu titul, meno, priezvisko a dátum narodenia,
c) číslo potvrdenia,
d) dátum vydania potvrdenia,
e) titul, meno, priezvisko a podpis predsedu úradu a
f) odtlačok úradnej pečiatky úradu.
(6) Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu zodpovednej osoby počas doby dlhšej ako dva roky, je povinná vykonať skúšku opakovane.
(7) Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 25
(1) Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa § 27 ods. 2 sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(2) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom.14) Prevádzkovateľ oznámi úradu tieto údaje:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) deň, keď sa fyzická osoba stala zodpovednou osobou,
d) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa predpoklady podľa tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia,
f) odtlačok pečiatky prevádzkovateľa,
g) dátum vyhotovenia oznámenia a
h) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
(3) Ak prevádzkovateľ výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb, je povinný podľa odseku 2 oznámiť úradu poverenie všetkých zodpovedných osôb.
(4) Ak počas výkonu funkcie zodpovednej osoby dôjde k zmene údajov oznamovaných podľa odseku 2, prevádzkovateľ je povinný bez zbytočného odkladu nahlásiť úradu zmenu týchto údajov.
(5) Vzor oznámenia podľa odseku 2 zverejní úrad na svojom webovom sídle.
§ 26
(1) Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať.
(2) Poverenie zodpovednej osoby zaniká
a) smrťou zodpovednej osoby,
b) dňom zániku prevádzkovateľa,
c) dňom, keď zodpovedná osoba prestala spĺňať podmienky podľa § 23 ods. 5,
d) uplynutím lehoty podľa § 24 ods. 6,
e) dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa tohto zákona, alebo
f) dňom, keď prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote zániku.
(3) Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku 1, môže postupovať podľa § 23 ods. 2 a § 25 ods. 2. Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. a), c) až f), prevádzkovateľ môže postupovať podľa § 23 ods. 2 a § 25 ods. 2.
(4) Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. b), prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
(5) Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného odkladu oznámiť úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby.
(6) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť výkonom dohľadu nad ochranou osobných údajov inú fyzickú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba nepostupovala pri zabezpečovaní úloh podľa § 27 ods. 1 a 2 v súlade s týmto zákonom. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a výkonom dohľadu nad ochranou osobných údajov písomne poveriť inú fyzickú osobu.
§ 27
(1) Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi.
(2) Zodpovedná osoba je povinná zabezpečovať
a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia podľa odseku 1,
b) povinnosti podľa odseku 1,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 21,
e) vybavovanie žiadostí dotknutých osôb podľa § 28 až 30,
f) prijatie bezpečnostných opatrení podľa § 19 ods. 1 a 2, dohliadať na ich aplikáciu v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 3,
g) dohľad nad výberom sprostredkovateľa, prípravu písomnej zmluvy so sprostredkovateľom a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa § 8,
h) dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32,
i) prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44.
(3) Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods. 5, je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.
ŠTVRTÁ HLAVA
§ 28
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a) potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
b) vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa § 15 ods. 1 písm. a) až e) druhý až šiesty bod; pri vydaní rozhodnutia podľa odseku 5 je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
c) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
d) vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania,
e) opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
f) likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
g) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona,
h) blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.
(2) Právo dotknutej osoby podľa odseku 1 písm. e) a f) možno obmedziť, len ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe písomnej žiadosti má právo u prevádzkovateľa namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu, a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu.
(4) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať voči spracúvaniu osobných údajov v prípadoch podľa § 10 ods. 3 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia.
(5) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej má právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa také rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom sú upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
(6) Ak dotknutá osoba uplatní svoje právo
a) písomne a z obsahu jej žiadosti vyplýva, že uplatňuje svoje právo, žiadosť sa považuje za podanú podľa tohto zákona; žiadosť podanú elektronickou poštou alebo faxom dotknutá osoba doručí písomne najneskôr do troch dní odo dňa jej odoslania,
b) osobne ústnou formou do zápisnice, z ktorej musí byť zrejmé, kto právo uplatnil, čoho sa domáha a kedy a kto vyhotovil zápisnicu, jeho podpis a podpis dotknutej osoby; kópiu zápisnice je prevádzkovateľ povinný odovzdať dotknutej osobe,
c) u sprostredkovateľa podľa písmena a) alebo písmena b), je ten povinný túto žiadosť alebo zápisnicu odovzdať prevádzkovateľovi bez zbytočného odkladu.
(7) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať úradu návrh na začatie konania o ochrane osobných údajov.
(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15) jej práva môže uplatniť zákonný zástupca.16)
(9) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.17)
§ 29
(1) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. a) až c), e) až h) a ods. 3 až 5 vybaví prevádzkovateľ bezplatne.
(2) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. d) vybaví prevádzkovateľ bezplatne okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.31)
(3) Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.
§ 30
Obmedzenie práv dotknutej osoby podľa § 28 ods. 2 prevádzkovateľ bez zbytočného odkladu písomne oznámi dotknutej osobe a úradu.
PIATA HLAVA
§ 31
(1) Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie32) zaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
(2) Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ prijme primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv; takéto záruky vyplývajú zo štandardných zmluvných doložiek podľa osobitného predpisu33) alebo záväzných vnútropodnikových pravidiel prevádzkovateľa, ktoré boli schválené orgánom dozoru v oblasti ochrany osobných údajov so sídlom v členskom štáte.
(3) Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
a) dotknutá osoba pred jeho uskutočnením poskytla písomný alebo inak hodnoverne preukázateľný súhlas s vedomím, že tretia krajina nezaručuje primeranú úroveň ochrany,
b) je prenos nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo v predzmluvných vzťahoch s dotknutou osobou, alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c) je prenos nevyhnutný na uzavretie zmluvy alebo na plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s treťou stranou,
d) je prenos nevyhnutný alebo požadovaný na základe zákona z dôvodu zabezpečenia dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní, alebo obhajovaní právnych nárokov vyplývajúcich zo zákona alebo z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
e) je prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov vedených podľa osobitných zákonov verejne prístupných alebo sprístupnených tým, ktorí preukážu právny základ na ich sprístupnenie pri splnení zákonom ustanovených podmienok.
(4) Ak ide o prenos osobných údajov o osobách v pracovnom pomere, štátnozamestnaneckom pomere, služobnom pomere alebo v obdobnom pracovnom vzťahu, prevádzkovateľ je povinný prijať primerané záruky ochrany súkromia a ochrany osobných údajov podľa odseku 2.
(5) Ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám bezpečného prístavu,34) zmluva o prenose osobných údajov musí obsahovať
a) identifikačné údaje zmluvných strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(6) Ak prevádzkovateľ použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sú odlišné od štandardných zmluvných doložiek podľa odseku 2 určených na prenos prevádzkovateľom alebo sprostredkovateľom alebo s nimi vykazujú zjavný nesúlad, je povinný pred začatím prenosu požiadať úrad o súhlas.
(7) Žiadosť podľa odseku 6 obsahuje
a) identifikačné údaje zmluvných strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(8) Prílohou žiadosti podľa odseku 7 je zmluva o prenose osobných údajov v štátnom jazyku alebo jej úradne overený preklad do štátneho jazyka.
(9) Na prenos osobných údajov podľa odsekov 2, 3 a 5 sa súhlas úradu nevyžaduje.
(10) Prevádzkovateľ je oprávnený uskutočniť prenos osobitnej kategórie osobných údajov tretej strane so sídlom v tretej krajine iba s predchádzajúcim písomným súhlasom dotknutej osoby, ak osobitný zákon neustanovuje inak.
(11) Ten, kto uskutočňuje prenos osobných údajov, musí zabezpečiť ich bezpečnosť aj počas tohto prenosu.
(12) Ochrana osobných údajov, ktoré prenáša prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom v tretej krajine na územie Slovenskej republiky, sa vykonáva v súlade s týmto zákonom.
§ 32
(1) Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom sprostredkovateľa na území jedného alebo viacerých členských štátov, je povinný zabezpečiť, aby konali podľa jeho pokynov a v súlade s týmto zákonom; to neplatí pri prijatí technických, organizačných a personálnych bezpečnostných opatrení.
(3) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky pri prenose osobných údajov prevádzkovateľovi v inom členskom štáte je povinný prijať primerané záruky zachovania práv a právom chránených záujmov dotknutých osôb.
(4) Prevádzkovateľ je povinný získať písomný alebo iným hodnoverným spôsobom preukázateľný súhlas dotknutých osôb pred poskytnutím osobných údajov prevádzkovateľovi so sídlom v inom členskom štáte, ak tento zákon alebo osobitný zákon takýto súhlas vyžaduje.
ŠIESTA HLAVA
§ 33
Prevádzkovateľ je povinný oznámiť úradu informačné systémy, požiadať úrad o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
§ 34
(1) Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.
(2) Oznamovacia povinnosť podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
a) podliehajú osobitnej registrácii podľa § 37,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), podlieha osobitnej registrácii,
c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 35
(1) Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34 pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom elektronického formulára. Oznámenie musí obsahovať
a) identifikačné údaje prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa,
c) identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa,
d) počet oprávnených osôb prevádzkovateľa,
e) názov informačného systému,
f) účel spracúvania osobných údajov,
g) právny základ spracúvania osobných údajov,
h) okruh dotknutých osôb,
i) zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety,
j) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
k) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia,
l) spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje a právny základ ich zverejnenia,
m) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
n) označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 a 2,
o) deň, keď sa začnú spracúvať osobné údaje v informačnom systéme.
(2) Vzor oznámenia informačného systému a príkladmý zoznam informačných systémov podľa odseku 1 zverejní úrad na svojom webovom sídle.
§ 36
(1) Ak ide o informačný systém, ktorý podľa § 34 podlieha oznamovacej povinnosti a oznámenie spĺňa náležitosti podľa § 35 ods. 1, úrad informačnému systému pridelí identifikačné číslo. O splnení oznamovacej povinnosti vydá úrad na žiadosť prevádzkovateľa potvrdenie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené identifikačné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum splnenia oznamovacej povinnosti a
g) odtlačok úradnej pečiatky úradu.
(2) Ak oznámenie nespĺňa náležitosti podľa § 35 ods. 1, úrad vyzve prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť kratšia ako sedem dní. Ak prevádzkovateľ neodstráni nedostatky v určenej lehote, úrad identifikačné číslo nepridelí a na oznámenie sa neprihliada.
(3) Ak informačný systém podlieha oznamovacej povinnosti a prevádzkovateľ si splnil oznamovaciu povinnosť podľa § 35 ods. 1, je oprávnený začať so spracúvaním osobných údajov odo dňa oznámenia.
(4) Ak informačný systém prevádzkovateľa po jeho oznámení začne spĺňať podmienky uvedené v § 34 ods. 2, prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad; úrad odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Ak úrad zistí túto skutočnosť pri plnení úloh podľa tohto zákona z vlastnej iniciatívy, odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Proti rozhodnutiu o odňatí identifikačného čísla nie je prípustný opravný prostriedok.
§ 37
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a) osobné údaje na základe § 10 ods. 3 písm. g) ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b),
b) osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo
c) aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9.
§ 38
(1) Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa § 35 ods. 1 obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu podľa § 37.
(2) Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, zverejní úrad na svojom webovom sídle.
(3) Prílohou k žiadosti podľa odseku 2 sú podklady nevyhnutné na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb.
§ 39
(1) Ak žiadosť nespĺňa náležitosti podľa § 38 ods. 1 a 3 alebo ak pri posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii neplynie.
(2) Mieru nebezpečenstva porušenia práv a slobôd dotknutej osoby pri spracúvaní osobných údajov individuálne pre konkrétny prípad posudzuje úrad.
(3) Ak spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb, úrad zaregistruje informačný systém a pridelí mu registračné číslo. O osobitnej registrácii vydá úrad potvrdenie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené registračné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum registrácie a
g) odtlačok úradnej pečiatky úradu.
(4) Vzor potvrdenia o osobitnej registrácii zverejní úrad na svojom webovom sídle.
(5) Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii.
(6) Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie prevádzkovateľovi na spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
(7) Ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, konanie o osobitnej registrácii zastaví a prevádzkovateľa o tom bez zbytočného odkladu informuje.
(8) O osobitnej registrácii sa nevyhotovuje písomné rozhodnutie; proti osobitnej registrácii nie je prípustný opravný prostriedok.
(9) Ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore so zákonom alebo dobrými mravmi, úrad rozhodnutím zruší osobitnú registráciu informačného systému a rozhodne o ukončení spracúvania osobných údajov.
§ 40
(1) Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.
(2) Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa prvej vety zverejní úrad na svojom webovom sídle.
(3) Zmenu oznámených údajov podľa odseku 1 a oznámenie ukončenia používania informačného systému podľa odseku 2 možno vykonať aj prostredníctvom elektronického formulára.
§ 41
Za osobitnú registráciu a za zmenu osobitnej registrácie sa vyberá správny poplatok podľa osobitného predpisu.35)
§ 42
(1) Údaje z oznámení v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
(2) Úrad prostredníctvom svojho webového sídla zverejňuje zoznam oznámení a osobitných registrácií v rozsahu
a) názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba, a
b) identifikačné alebo registračné číslo informačného systému.
§ 43
(1) O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom sídle.
(2) Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).
§ 44
Údaje z evidencie podľa § 43 ods. 1 je prevádzkovateľ povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ
PRVÁ HLAVA
§ 45
(1) Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(2) Sídlom úradu je Bratislava.
(3) Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(4) Úrad je rozpočtovou organizáciou.36) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(5) Podrobnosti o organizácii úradu upraví organizačný poriadok.
§ 46
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a) vykonáva dozor nad dodržiavaním povinností ustanovených zákonom pri spracúvaní osobných údajov,
b) priebežne sleduje stav ochrany osobných údajov, plnenie oznamovacej povinnosti, osobitnú registráciu informačných systémov a vedenie evidencie o informačných systémoch,
c) prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
d) vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
e) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa,
f) na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
g) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
h) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania pre prevádzkovateľov,
i) umožňuje splnenie oznamovacej povinnosti a vykonáva osobitnú registráciu informačných systémov a zabezpečuje zverejnenie ich stavu,
j) vedie register zodpovedných osôb,
k) poskytuje konzultácie v oblasti ochrany osobných údajov,
l) v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
m) metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
n) vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
o) vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,
p) na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany, schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
q) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
r) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
s) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
t) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle,
u) zverejňuje na svojom webovom sídle vzory poučení oprávnenej osoby podľa § 21.
(2) Okrem plnenia úloh podľa odseku 1 úrad ďalej
a) plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
b) prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
c) spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal.
(4) Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľmi alebo sprostredkovateľmi a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných zákonov.
(5) Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.37)
§ 47
(1) Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
(2) Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
(3) Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má spôsobilosť na právne úkony v plnom rozsahu, má vysokoškolské vzdelanie druhého stupňa a je bezúhonný podľa § 23 ods. 6 prvá a druhá veta.
(4) Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
(5) Za svoju činnosť predseda úradu zodpovedá Národnej rade Slovenskej republiky.
(6) Predseda úradu má počas výkonu svojej funkcie postavenie vedúceho služobného úradu podľa osobitného zákona.38)
(7) Pred uplynutím funkčného obdobia výkon funkcie predsedu úradu zaniká
a) vzdaním sa funkcie,
b) stratou voliteľnosti do Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie podľa osobitného predpisu,39) alebo
e) smrťou.
(8) Predseda úradu môže byť z funkcie odvolaný, ak
a) mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
(9) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.38)
§ 48
(1) Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce obdobia. Podpredseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
(3) Na výkon funkcie podpredsedu úradu sa ustanovenia § 47 ods. 3, 7 a 8 vzťahujú rovnako.
§ 49
(1) Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Za vrchného inšpektora možno vymenovať občana,40) ktorý má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonný, má vysokoškolské vzdelanie druhého stupňa a najmenej päťročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(3) Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať najviac na dve po sebe nasledujúce obdobia. Vrchný inšpektor ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového vrchného inšpektora.
(4) Vrchného inšpektora možno z funkcie odvolať, ak
a) mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie, alebo
c) opakovane neplní úlohy ustanovené v § 46 ods. 1 písm. a) a d) alebo porušuje služobnú disciplínu, a ak v posledných šiestich mesiacoch predseda úradu vrchného inšpektora úradu opakovane písomne vyzval na odstránenie nedostatkov a vrchný inšpektor úradu ich v primeranej lehote neodstránil.
(5) Vrchný inšpektor úradu sa z funkcie odvolá, ak hrubo zanedbal povinnosti uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie služobnej disciplíny.
(6) Pred uplynutím funkčného obdobia výkon funkcie vrchného inšpektora úradu zaniká
a) vzdaním sa funkcie,
b) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
c) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
d) smrťou.
§ 50
(1) Inšpektora úradu vymenúva a odvoláva predseda úradu zo štátnych zamestnancov38) vykonávajúcich štátnu službu v úrade.
(2) Za inšpektora úradu možno vymenovať občana,40) ktorý má vysokoškolské vzdelanie druhého stupňa a najmenej trojročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov.
(3) Inšpektora úradu možno odvolať pri zmene štátnozamestnaneckého pomeru,38) a ak mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať povinnosti vyplývajúce z opisu činností štátneho zamestnanca.
§ 51
Podpredseda úradu, vrchný inšpektor, inšpektor úradu a zamestnanec úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona, a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru alebo pracovného pomeru. Od povinnosti mlčanlivosti môže podpredsedu úradu, vrchného inšpektora, inšpektora a zamestnanca úradu v konkrétnom prípade zbaviť predseda úradu.
DRUHÁ HLAVA
§ 52
(1) Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva vrchný inšpektor úradu, inšpektor úradu a zamestnanci úradu, ktorí sú členmi kontrolného orgánu (ďalej len „kontrolný orgán“).
(2) Kontrolný orgán vykoná kontrolu ako riadnu kontrolu na základe ročného plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania o ochrane osobných údajov.
(3) Vrchný inšpektor úradu vykonáva kontrolu na základe písomného poverenia predsedu úradu. Inšpektor úradu vykoná kontrolu na základe písomného poverenia vrchného inšpektora úradu. Zamestnanec úradu sa zúčastňuje na kontrole na základe písomného poverenia predsedu úradu alebo vrchného inšpektora úradu. Písomné poverenie na vykonanie kontroly obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) titul, meno a priezvisko kontrolného orgánu,
d) deň, miesto a čas kontroly,
e) predmet kontroly,
f) odtlačok úradnej pečiatky a podpis predsedu úradu alebo vrchného inšpektora úradu podľa prvej až tretej vety.
(4) Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
(5) Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi (ďalej len „kontrolovaná osoba“).
§ 53
Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
§ 54
(1) Kontrolný orgán, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho zaujatosti, je povinný tieto skutočnosti písomne oznámiť úradu bez zbytočného odkladu.
(2) Ak má kontrolovaná osoba pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, kontrolovaná osoba je oprávnená podať písomné námietky s uvedením dôvodu. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(3) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do piatich pracovných dní od ich uplatnenia a písomne oboznámi s rozhodnutím toho, kto námietku uplatnil. Proti rozhodnutiu predsedu úradu nemožno podať opravný prostriedok.
(4) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.41)
§ 55
Kontrolný orgán je povinný
a) vopred písomne oznámiť kontrolovanej osobe predmet a účel kontroly; to neplatí, ak by oznámenie o kontrole pred začatím kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, keď oznámenie o kontrole možno vykonať pri začatí kontroly,
b) pred začatím kontroly preukázať sa poverením na vykonanie kontroly a preukázať svoju príslušnosť k úradu,
c) vypracovať protokol o vykonaní kontroly (ďalej len „protokol“) alebo záznam o kontrole,
d) uvádzať do protokolu a do záznamu o kontrole kontrolné zistenia,
e) oboznámiť kontrolovanú osobu s kontrolnými zisteniami v protokole a vyžiadať si od nej v lehote určenej kontrolným orgánom písomné vyjadrenie ku kontrolným zisteniam uvedeným v protokole,
f) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole,
g) písomne potvrdiť kontrolovanej osobe prevzatie originálov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím,
h) preveriť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
i) prerokovať protokol o výsledku kontroly s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní,
j) o priebehu a výsledku vykonávanej kontroly informovať predsedu úradu a aj vrchného inšpektora úradu, ak vrchný inšpektor nevykonáva kontrolu.
§ 56
Kontrolný orgán je oprávnený
a) vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b) overovať totožnosť kontrolovanej osoby a fyzických osôb, ktoré v mene kontrolovanej osoby konajú,
c) vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch mu umožnila odoberať kópie aj mimo priestorov kontrolovanej osoby,
d) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam a k zisteným nedostatkom,
e) vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
f) vyžadovať súčinnosť kontrolovanej osoby.
§ 57
Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa § 56 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c) dostaviť sa na predvolanie úradu s cieľom podať vysvetlenia v určenom čase na určené miesto,
d) oboznámiť sa s obsahom protokolu a na požiadanie kontrolného orgánu dostaviť sa na jeho prerokovanie.
§ 58
Kontrolovaná osoba je oprávnená
a) oboznamovať sa s kontrolnými zisteniami a písomne sa k nim vyjadrovať,
b) podať písomné námietky po oboznámení sa s kontrolnými zisteniami,
c) vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 55 písm. b),
d) overiť totožnosť prizvanej osoby a vyžadovať od prizvanej osoby preukázanie, že je oprávnená sa zúčastniť vykonania kontroly,
e) vyžadovať od kontrolného orgánu potvrdenie o odobratí originálov alebo kópií dokumentov podľa § 56 písm. c),
f) vyžadovať, aby výkonom kontroly neboli dotknuté jej práva a právom chránené záujmy; týmto nie sú dotknuté ustanovenia § 56 a57.
§ 59
(1) Ak je to odôvodnené osobitnou povahou kontroly, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme.
(2) Prizvaná osoba sa ako člen kontrolného orgánu zúčastňuje kontroly na základe písomného poverenia predsedu úradu alebo vrchného inšpektora; o prizvaní fyzickej osoby kontrolný orgán upovedomí kontrolovanú osobu podľa § 55 písm. a).
(3) Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Od povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu.
(4) Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona, ak so zreteľom na jej vzťah k predmetu veci možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá sama vie o skutočnostiach zakladajúcich pochybnosti o jej zaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu úradu.
(5) Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(6) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do troch pracovných dní od ich uplatnenia. Proti rozhodnutiu predsedu úradu nemožno podať opravný prostriedok.
(7) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.41)
§ 60
(1) Výsledkom kontroly je protokol alebo záznam o kontrole.
(2) Ak boli kontrolou zistené nedostatky, kontrolný orgán vypracuje protokol, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) miesto, dátum a čas vykonania kontroly,
d) predmet kontroly,
e) preukázané kontrolné zistenia,
f) vyjadrenia kontrolovanej osoby ku kontrolným zisteniam,
g) titul, meno, priezvisko a funkciu alebo pracovné zaradenie kontrolného orgánu, ktorý kontrolu vykonal,
h) dátum vypracovania protokolu,
i) odtlačok úradnej pečiatky, vlastnoručné podpisy kontrolného orgánu, zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a prizvanej osoby, ak kontrolný orgán na vykonanie kontroly prizval fyzickú osobu podľa § 59,
j) dátum oboznámenia sa s protokolom; ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole, a
k) písomné potvrdenie o prevzatí protokolu kontrolovanou osobou.
(3) Protokol podľa odseku 2 môže obsahovať prílohy; prílohy tvoria neoddeliteľnú súčasť protokolu.
(4) Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami uvádzanými v protokole oprávnená podať písomné námietky v lehote siedmich dní odo dňa podpísania protokolu; deň odmietnutia podpísať protokol podľa odseku 2 písm. j) vety za bodkočiarkou sa považuje za deň podpísania protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.
(5) Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo nové skutočnosti, ktoré v čase oboznamovania s protokolom neboli známe, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti v lehote 15 dní odo dňa doručenia námietok a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovaného subjektu, je povinný to v dodatku zdôvodniť. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(6) Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 dní odo dňa doručenia námietok.
(7) Ak sa kontrolou nezistí porušenie povinností ustanovených zákonom, kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(8) Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole podľa odseku 7. Ak kontrolovaná osoba odmietne podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom odmietnutia jej podpísania, o čom kontrolný orgán vyhotoví v zápisnici záznam.
§ 61
(1) Protokol a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly podľa tohto zákona, sa nesprístupňujú podľa osobitného zákona.42)
(2) Na výkon kontroly sa nevzťahuje osobitný zákon o kontrole v štátnej správe.43)
(3) Na doručovanie písomností pri výkone kontroly sa vzťahuje všeobecný predpis o správnom konaní.43a)
TRETIA HLAVA
§ 62
(1) Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
(2) Konanie je neverejné; tým nie je dotknuté ustanovenie § 71.
§ 63
(1) Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“), alebo bez návrhu.
(2) Návrh na začatie konania podľa odseku 1 musí obsahovať
a) meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
b) označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c) predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v návrhu,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 28, ak sa takéto právo mohlo uplatniť, alebo uvedenie dôvodov hodných osobitného zreteľa.
(3) Úrad môže návrh na začatie konania podľa odseku 1 odložiť, ak
a) návrh je zjavne neopodstatnený,
b) vec, ktorej sa návrh týka, prejednáva orgán činný v trestnom konaní,
c) navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nie je možné vec vybaviť; navrhovateľ musí byť o možnosti odloženia jeho návrhu poučený,
d) od udalosti, ktorej sa návrh týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
(4) V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
(5) Ak návrh na začatie konania doručí úradu iná osoba ako navrhovateľ, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
(6) Úrad môže podnet podľa odseku 5 odložiť, ak
a) podnet je zjavne neopodstatnený,
b) vec, ktorej sa podnet týka, prejednáva orgán činný v trestnom konaní,
c) od udalosti, ktorej sa podnet týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
(7) Ak úrad podnet neodloží podľa odseku 6, začne konanie z vlastnej iniciatívy. Úrad začne konanie z vlastnej iniciatívy aj na základe výsledkov kontroly podľa § 60 ods. 2, ktorou boli zistené nedostatky.
(8) Fyzická osoba alebo právnická osoba, ktorá podala podnet, nie je účastníkom konania. O spôsobe vybavenia jej podnetu podľa prvej vety ju úrad bez zbytočného odkladu informuje.
§ 64
(1) Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2) Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa § 63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63 ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1.
(3) Ak je počas konania začatého na základe návrhu navrhovateľa alebo na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia kontroly. Výsledok kontroly je podkladom na rozhodnutie vo veci.
§ 65
(1) Ak úrad zistí porušenie práv navrhovateľa, fyzickej osoby v konaní bez návrhu alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku; inak konanie o ochrane osobných údajov zastaví.
(2) Okrem opatrení podľa odseku 1 úrad je oprávnený ďalej uložiť opatrenia prevádzkovateľovi alebo sprostredkovateľovi, ktorými
a) zakáže spracúvanie tých osobných údajov, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
b) zakáže spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
c) nariadi odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo boli neoprávnene spracúvané,
d) uloží povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania,
e) uloží povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného projektu v súlade s týmto zákonom,
f) uloží prevádzkovateľovi povinnosť zmeniť sprostredkovateľa v určenej lehote, ak prevádzkovateľ vykonáva spracúvanie osobných údajov prostredníctvom sprostredkovateľa.
(3) Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 66
O rozklade podanom proti rozhodnutiu podľa § 65 rozhodne predseda úradu.
ŠTVRTÁ HLAVA
§ 67
Sankciami za porušenie tohto zákona sú:
a) pokuta a
b) poriadková pokuta.
§ 68
(1) Úrad môže uložiť pokutu od 300 eur do 3 000 eur prevádzkovateľovi, ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa§ 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 8,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30,
h) nesplnil alebo porušil povinnosť podľa § 35 ods. 1 a § 36 ods. 3 prvej vety,
i) nesplnil alebo porušil povinnosť oznámenia zmien podľa § 40,
j) nesplnil alebo porušil povinnosť vedenia evidencie informačného systému podľa § 43, alebo
k) nesplnil alebo porušil povinnosť sprístupniť údaje z evidencie podľa § 44.
(2) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur prevádzkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 až 7 a 9 až 12,
b) pri výbere a poverovaní sprostredkovateľa nesplnil alebo porušil niektorú z povinností podľa § 8 ods. 2 až 5,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(3) Úrad uloží pokutu od 1 000 eur do 200 000 eur prevádzkovateľovi, ktorý
a) nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy podľa § 8 ods. 3 prvej vety,
b) pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 13 a 14,
c) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 2,
d) nevykonal prenos osobných údajov do tretích krajín podľa § 31 alebo nesplnil, alebo porušil niektorú z podmienok podľa § 31 a§ 32 ods. 2, 3 a 4, alebo
e) nesplnil alebo porušil povinnosť osobitnej registrácie informačného systému podľa § 37 a 38, § 39 ods. 5 a ods. 6 druhej vety.
(4) Úrad môže uložiť pokutu od 300 eur do 3 000 eur sprostredkovateľovi, ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa§ 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 8,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30.
(5) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4,
b) nesplnil alebo porušil niektorú z povinností sprostredkovateľa podľa § 8 ods. 6 a 7,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(6) Úrad uloží pokutu od 1 000 eur do 200 000 eur sprostredkovateľovi, ktorý
a) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 2 alebo
b) nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo nesplnil alebo porušil niektorú z podmienok podľa § 31 a§ 32 ods. 2, 3 a 4.
(7) Úrad môže uložiť pokutu od 150 eur do 2 000 eur tomu, kto
a) poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje podľa § 16 ods. 1,
c) nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a 20,
d) poruší povinnosť mlčanlivosti o osobných údajoch podľa § 22 alebo
e) neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto zákona.
§ 69
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a) do 1 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 57 písm. a),
b) do 10 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm. b),
c) do 20 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných informačných prostriedkoch nezverejnil vôbec alebo nezverejnil včas, alebo nezverejnil v určenej forme, alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
d) do 30 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa § 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.
§ 70
(1) Pokutu a poriadkovú pokutu úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
(2) Pokutu podľa § 68 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
(3) Poriadkovú pokutu podľa § 69 možno uložiť do jedného mesiaca odo dňa, keď k porušeniu povinnosti došlo.
(4) Pri ukladaní pokuty alebo poriadkovej pokuty a určení jej výšky úrad prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.
(5) Ak sa tá istá osoba dopustí toho istého porušenia tohto zákona do dvoch rokov od právoplatnosti rozhodnutia, môže jej úrad uložiť pokutu alebo poriadkovú pokutu až do výšky dvojnásobku sadzby uloženej pokuty alebo poriadkovej pokuty.
(6) Proti rozhodnutiu o uložení pokuty alebo poriadkovej pokuty možno podať písomne rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho doručenia.
(7) V odôvodených prípadoch úrad môže rozhodnutím povoliť odklad platenia pokuty alebo poriadkovej pokuty alebo povoliť platenie pokuty alebo poriadkovej pokuty v splátkach.
(8) Výnosy pokút sú príjmom štátneho rozpočtu.
§ 71
(1) Ak úrad zistí porušenie povinností ustanovených týmto zákonom, môže rozhodnutím zverejniť obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené, a právnu formu toho, kto sa dopustil protiprávneho konania, a
a) výrok a odôvodnenie vykonateľného opatrenia alebo ich časti podľa § 65 v konaní o ochrane osobných údajov,
b) výrok a odôvodnenie vykonateľného rozhodnutia o pokute alebo poriadkovej pokute alebo ich časti podľa § 68 alebo § 69, alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných prostriedkoch.
(3) Úrad môže uložiť povinnosť zverejniť porušenie zákona podľa odseku 2, ak zistí závažné, opakované alebo dlhotrvajúce porušenie povinností ustanovených týmto zákonom; pri ukladaní povinnosti zverejniť porušenie zákona úrad zohľadní aj mieru ohrozenia súkromného a rodinného života a počet dotknutých osôb.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný splniť povinnosť uloženú úradom podľa odseku 2. Štatutárny orgán prevádzkovateľa a sprostredkovateľa je povinný zabezpečiť zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok a najneskorší termín zverejnenia oznamu určí úrad.
(5) Osobné údaje uvedené vo výroku alebo odôvodnení vykonateľného opatrenia alebo rozhodnutia podľa odseku 1 písm. a) a b) sa nezverejňujú.
ŠTVRTÁ ČASŤ
§ 72
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,41) ak v odseku 2 nie je ustanovené inak.
(2) Všeobecný predpis o správnom konaní41) sa nevzťahuje na
a) vykonávanie a absolvovanie skúšky fyzickej osoby na výkon funkcie zodpovednej osoby podľa § 24,
b) oznamovaciu povinnosť podľa § 34 až 36 a
c) výkon kontroly podľa § 52 až 61, okrem doručovania písomností pri výkone kontroly.
§ 73
Každý je povinný umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona a rozhodnutí vydaných na jeho základe. Týmto nie je dotknuté ustanovenie § 46 ods. 5.
§ 74
(1) Každý je povinný poskytnúť úradu potrebnú súčinnosť pri plnení jeho úloh podľa tohto zákona.
(2) Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce k zisteniu všetkých okolností potrebných na objektívne posúdenie veci.
§ 75
(1) Úrad na ochranu osobných údajov Slovenskej republiky zriadený podľa doterajšieho zákona je Úradom na ochranu osobných údajov Slovenskej republiky podľa tohto zákona.
(2) Predseda úradu zvolený do funkcie podľa doterajšieho zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(3) Podpredseda úradu vymenovaný do funkcie podľa doterajších predpisov je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(4) Vrchný inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je vrchným inšpektorom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(5) Inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je inšpektorom úradu podľa tohto zákona.
§ 76
(1) Prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
(2) Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s týmto zákonom do dvoch rokov odo dňa účinnosti tohto zákona.
(3) Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona.
(4) Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
(5) Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu udelenú podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(6) Osobitné registrácie udelené podľa doterajšieho zákona sa považujú za osobitné registrácie udelené podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(7) Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo dňa účinnosti tohto zákona.
(8) Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.
§ 77
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.
§ 77a
(1) Registrácie informačných systémov vykonané do 14. apríla 2014 sa považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla 2014.
(2) Konania o registrácii informačných systémov a konania o osobitnej registrácii informačných systémov, ktoré neboli ukončené do 14. apríla 2014, sa dokončia podľa zákona účinného do 14. apríla 2014.
(3) Pri vyhotovovaní oznámenia podľa § 35 ods. 1, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014 možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému vykonať aj prostredníctvom elektronického formulára. Úrad zverejní elektronický formulár na svojom webovom sídle.
(4) Konania podľa § 68 a 69 začaté pred 15. aprílom 2014 sa dokončia podľa zákona účinného do 14. apríla 2014.
§ 78
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.
§ 79
Zrušuje sa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z., zákona č. 576/2004 Z. z., zákona č. 90/2005 Z. z. a zákona č. 583/2008 Z. z.
Čl. II
Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č. 123/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona č. 93/2005 Z. z., zákona č. 171/2005 Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 342/2005 Z. z., zákona č. 473/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 572/2005 Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005 Z. z., zákona č. 14/2006 Z. z., zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z., zákona č. 117/2006 Z. z., zákona č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona č. 224/2006 Z. z., zákona č. 342/2006 Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z., zákona č. 193/2007 Z. z., zákona č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona č. 295/2007 Z. z., zákona č. 309/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007 Z. z., zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z., zákona č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona č. 537/2007 Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007 Z. z., zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z., zákona č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona č. 264/2008 Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008 Z. z., zákona č. 465/2008 Z. z., zákona č. 495/2008 Z. z., zákona č. 514/2008 Z. z., zákona č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona č. 191/2009 Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009 Z. z., zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona č. 570/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010 Z. z., zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 514/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011 Z. z., zákona č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona č. 342/2011 Z. z., zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011 Z. z., zákona č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z., zákona č. 519/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona č. 96/2012 Z. z., zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012 Z. z., zákona č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z., zákona č. 447/2012 Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona č. 39/2013 Z. z., zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013 Z. z., zákona č. 94/2013 Z. z. a zákona č. 96/2013 Z. z. sa dopĺňa takto:
V prílohe k sadzobníku správnych poplatkov sa dopĺňa XXIII. časť, ktorá vrátane názvu znie:
„XXIII. časť
OCHRANA OSOBNÝCH ÚDAJOV
Položka 273
a) | Registrácia informačného systému alebo jej zmena ….. | 20,- eur |
b) | Osobitná registrácia informačného systému alebo jej zmena ….. | 50,- eur |
Poznámka:
Poplatky podľa tejto položky vyberá Úrad na ochranu osobných údajov Slovenskej republiky.“.
Čl. III
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení nálezu Ústavného súdu Slovenskej republiky č. 638/2005 Z. z., zákona č. 255/2006 Z. z., zákona č. 330/2007 Z. z., zákona č. 668/2007 Z. z., zákona č. 291/2009 Z. z., zákona č. 400/2009 Z. z. a zákona č. 192/2011 Z. z. sa dopĺňa takto:
V § 53 sa za odsek 5 vkladá nový odsek 6, ktorý znie:
„(6) Ak sú objekty a chránené priestory zabezpečené technickými zabezpečovacími prostriedkami umožňujúcimi vyhotovovať obrazový, zvukový alebo obrazovo-zvukový záznam, nevyžaduje sa ich označenie podľa všeobecného predpisu o ochrane osobných údajov. Ak takýto záznam nie je využitý na účely trestného konania alebo konania o priestupku, ten kto vyhotovil takýto záznam, je povinný ho zlikvidovať najneskôr v lehote 60 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený.“.
Doterajší odsek 6 sa označuje ako odsek 7.
Čl. IV
Zákon č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení zákona č. 151/2010 Z. z., zákona č. 500/2010 Z. z., zákona č. 505/2010 Z. z., zákona č. 547/2010 Z. z., zákona č. 33/2011 Z. z., zákona č. 48/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 257/2011 Z. z., zákona č. 503/2011 Z. z., zákona č. 252/2012 Z. z., zákona č. 345/2012 Z. z., zákona č. 361/2012 Z. z. a zákona č. 392/2012 Z. z. sa mení takto:
V § 6 ods. 5 sa vypúšťajú slová „okrem inšpektora Úradu na ochranu osobných údajov Slovenskej republiky“.
Čl. V
Tento zákon nadobúda účinnosť 1. júla 2013.
Ivan Gašparovič v. r.
Pavol Paška v. r.
Robert Fico v. r.
Príloha k zákonu č. 122/2013 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 15; Ú. v. ES L 281, 23. 11. 1995) v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Mimoriadne vydanie Ú. v. EÚ, kap. 1/zv. 4; Ú. v. EÚ L 284, 31. 10. 2003).
1) Napríklad zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, ústavný zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších predpisov, zákon č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, zákon č.215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
2) Napríklad zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov, zákon č. 321/2002 Z. z. o ozbrojených silách Slovenskej republiky v znení neskorších predpisov, zákon č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov.
3) Napríklad zákon Slovenskej národnej rady č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.
4) Napríklad Trestný poriadok v znení neskorších predpisov, zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
5) § 2 písm. b) zákona č. 293/2007 Z. z. o uznávaní odborných kvalifikácií v znení neskorších predpisov.
6) Napríklad zákon č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
7) § 11 až 16 Občianskeho zákonníka v znení neskorších predpisov.
8) § 13 zákona č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon) v znení neskorších predpisov.
9) Napríklad § 27 až 34 Obchodného zákonníka v znení neskorších predpisov, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení neskorších predpisov.
10) Zákon č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
11) § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov.
12) § 69 Obchodného zákonníka v znení neskorších predpisov.
13) Napríklad zákon Národnej rady Slovenskej republiky č. 40/1993 Z. z. o štátnom občianstve Slovenskej republiky v znení neskorších predpisov, zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 305/2005 Z. z. o sociálnoprávnej ochrane detí a o sociálnej kuratele a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14) § 4 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
15) § 8 Občianskeho zákonníka v znení zákona č. 509/1991 Zb.
16) § 26 až 30 Občianskeho zákonníka v znení neskorších predpisov.
17) § 116 Občianskeho zákonníka.
18) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle v znení neskorších predpisov.
19) Napríklad § 33 zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
20) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
21) Zákon č. 447/2008 Z. z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného postihnutia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
22) Zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
23) Zákon č. 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
24) Zákon č. 647/2007 Z. z. o cestovných dokladoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
25) Napríklad § 14 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 70 ods. 6 zákona č. 215/2004 Z. z.
26) Napríklad § 93a zákona č. 483/2001 Z. z. v znení neskorších predpisov.
27) § 2 ods. 15 zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov.
28) § 20 zákona č. 395/2002 Z. z. v znení zákona č. 216/2007 Z. z.
29) Zákon č. 215/2004 Z. z. v znení neskorších predpisov.
30) Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, § 23 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 38 zákona č. 215/2004 Z. z., § 11 zákona č. 563/2009 Z. z. v znení neskorších predpisov.
31) Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
32) Napríklad rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
33) Napríklad rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39,12. 2. 2010), rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 26; Ú. v. ES L 181, 4. 7. 2001).
34) Rozhodnutie Komisie z 26. júna 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
35) Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.
36) § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. v znení neskorších predpisov.
37) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z. z.
38) Zákon č. 400/2009 Z. z. v znení neskorších predpisov.
39) Zákon č. 357/2004 Z z. o ochrane verejného záujmu pri výkone funkcií verejných funkcionárov v znení zákona č. 545/2004 Z. z.
40) § 3 ods. 1 zákona č. 400/2009 Z. z. v znení neskorších predpisov.
41) Zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
42) § 11 ods. 1 písm. h) zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
43) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
43a) § 25 a 26 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.
Viviane Reding, vicepresidenta de la Comisión Europea y responsable de Justicia ha defendido, a pocos meses de que la Comisión presente propuestas legislativas para actualizar la directiva de Protección de Datos de 1995, que «las compañías que dirigen sus servicios a los consumidores europeos deben estar sujetas a la legislación de protección de datos europea».
Además, añade que de lo contrario «no deberían hacer negocios en nuestro mercado interno»; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.
Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como «requerir el consentimiento explícito antes de se utilicen sus datos» para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.
Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.
El 95 por ciento de las pymes incumplen la Ley de Protección de Datos, según un reciente estudio realizado por la Asociación Profesional de la Privacidad de Castilla-la Mancha entre las doscientas empresas ubicadas en el polígono Campollano (Albacete).
Este porcentaje ha sido el resultado de un estudio llevado a cabo por la Asociación Profesional de la Privacidad de Castilla-la Mancha, tras examinar a doscientas empresas ubicadas en el polígono Campollano (Albacete).
Añade el citado estudio que «el 70 por ciento de esas infracciones están catalogadas en la ley como graves o muy graves», lo que llevaría aparejadas sanciones entre los 40.001 a los 600.000 euros.
La experta en Protección de Datos de IMAdvisory, Paola Redecilla, ha manifestado que estos datos indican que no existe en España una cultura de protección de datos, y que el resultado de este estudio «es perfectamente extrapolable al conjunto del tejido empresarial español», lo que a su juicio supone un grave riesgo para las empresas, que «pueden llevarlas incluso a la quiebra». En este punto es necesario advertir que merced a la modificación del procedimiento sancionador de la LOPD operada por la Ley de Economía Sostenible, la Agencia Española de Protección de Datos ha flexibilizado las sanciones, incluyendo la figura del apercibimiento, y contemplando la posibilidad de graduar las penas en función del poder económicos de las empresas.
Se hace constar en el estudio que los errores más comunes tienen que ver con la documentación que requiere el Documento de Seguridad, debido a la falta de actualización de los mismos, que lo convierte en papel mojado: «No ha habido una auditoría permanente y se aplica una regulación ya derogada», por lo que «recomendamos siempre a nuestros clientes que hagan auditorías periódicas que les aseguren estar al día en una regulación cambiante»
También se observan déficits en los compromisos de confidencialidad de los trabajadores, que «en el 85 % de las empresas no se encuentran firmados y debidamente guardados», así como en los contratos con prestadores de servicios con acceso a datos, que en el 70 % de las empresas examinadas no se han firmado. Peor es la situación relacionada con los sitios web de estas empresas, donde el 90 % de las mismas carecen de aviso legal y/o política de privacidad.
Fuente: Diario Qué
Tanto la Constitución Nacional, cuanto la de la Provincia de Córdoba, recetan en sus textos la problemática de la que el hábeas data pretender eregirse en solución jurídica [1] . Pero de la lectura de los mismos salta a la vista las diferencias en cuanto a la regulación de la cuestión.
El art. 50 de la Constitución de la Provincia de Córdoba intenta dar la regulación normativa a nivel de principios generales de esta problemática, reconociendo el derecho que toda persona posee a conocer lo que de él conste en forma de registro, en los términos siguientes: «Toda persona tiene derecho a conocer lo que de él conste en forma de registro, la finalidad a que se destine esa información, y a exigir su rectificación y actualización. Dichos datos no pueden registrarse con propósitos discriminatorios de ninguna clase ni ser proporcionados a terceros, excepto que tengan un interés legítimo. La ley reglamenta el uso de la informática para que no se vulneren el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos». Como se puede advertir, la norma no se ciñe a los registros de naturaleza pública, aun cuando no lo haya consagrado en forma expresa como la Constitución Nacional.
Los derechos consagrados en este campo por la norma provincial a favor de los particulares son: a) el de tomar conocimiento de los datos con él relacionados que se encuentren almacenados en cualquier tipo de registro; b) el de saber la finalidad real de tal información; c) a exigir su rectificación en caso de ser incorrecta, o actualización si los datos relacionados con su persona no fueran incorrecto, pero tampoco reflejaran una situación actual.
Dicha norma constitucional proscribe asimismo, cualquier forma de utilización discriminatoria de la información almacenada, sienta como principio la confidencialidad de la misma (sobre datos personales de los sujetos) y establece como límites al uso de la informática, a ser reglamentados por ley, el honor, la intimidad personal y familiar, y el ejercicio pleno de los derechos [2] .
A trece para catorce años de la inclusión en el texto de nuestra Constitución Provincial [3] de tales derechos, la cual se anticipó y sirvió de fuente a la recepción de la garantía en la Constitución Nacional [4] , todavía no se ha dictado en la provincia de Córdoba (tampoco, a nivel nacional) la pertinente legislación reglamentaria que garantice los mismos, a través de la regulación del instituto jurídico del hábeas data.
Si bien queda claro que tal ausencia de una norma específica a nivel de ley, no invalida en modo alguno su directa operatividad, en razón de lo dispuesto en la norma constitucional, sí plantea a los efectos de su tramitación procesal, una serie de incertidumbres, las que deben de ser superadas «atendiendo a las modalidades y finalidades previstas en la Constitución» [5] .
Tal como ha sostenido la Corte Suprema respecto del particular, que: «La ausencia de normas regulatorias de los aspectos instrumentales de la acción de hábeas data, no es óbice para su ejercicio, incumbiendo a los órganos jurisdiccionales determinar provisoriamente —hasta tanto el Congreso Nacional procede a su reglamentación—, las características con que tal derecho habrá de desarrollarse en los casos concretos» [6] .
Se ha entendido de parte de los tribunales cordobeses, que la acción de «Hábeas data significa, por analogía con el hábeas corpus, que cada persona»tiene sus datos» y que no hay dudas de que el objeto tutelado coincide con la intimidad o privacidad de la persona, ya que todos los datos a ella referidos que no tienen como destino la publicidad o la información innecesaria a terceros deben preservarse» [7] .
Asimismo, en razón de la consagración constitucional en nuestra provincia de la legitimación de los ciudadanos para accionar en virtud de la afectación de sus derechos difusos, en el art. 53 [8] , entendemos que resulta procedente a nivel provincial, lo que podemos denominar como «hábeas data difuso», que en la doctrina nacional resulta un tema en discusión al día de hoy.
Entendemos procedente para explicar el alcance que entendemos posee la norma provincial, comenzar por distinguir la categoría jurídica de los derechos difusos del interés simple. Este último «no pertenece a la esfera de las necesidades y conveniencias públicas. Es el interés que tiene todo particular en que la ley se cumpla» [9] . En cambio en el primero, su titularidad pertenece a todos los habitantes, y las consecuencias de su agravio, también. Es una suerte de «condominio de derechos» [10] .
«Ahora bien, la protección de los intereses difusos no puede ser ilimitada, irrestricta o indiscriminada, sino que debe existir una relación de causalidad dada por el efecto reflejo de la objetividad en la subjetividad; es decir, que el interés colectivo debe traducirse en alguna afectación [y ello, a nuestro entender, marca una de las diferencias con el simple interés], aunque fuere indirecta o refleja [no remota o de conveniencia, como en el simple interés], respecto del accionante. Será vecino, será usuario, radicado o turista, pero siempre deberá experimentar una vinculación por razón de consumo, vecindad, habitabilidad, u otra equivalente o análoga» [11] .
No darse tales supuestos, no estaremos en presencia de un interés difuso, sino de un simple interés, que no proporciona legitimidad alguna para accionar a su detentante.
La legitimación pasiva corresponde a toda persona, individual o colectiva, que dispongan de registro o bases de datos destinados a producir informes. No es procedente, a mérito de la redacción constitucional, respecto de aquellos de simple almacenaje de datos no personales (v. gr. archivos científicos, periodísticos, etc), destinados al conocimiento de un universo más a menos amplio de terceros.
Respecto de ello, entendemos que no obsta a la procedencia de la acción que los informes no se distribuyan de modo indiscriminado o al público en general. Perfectamente podrá interponerse la acción contra un registro que, sin estar abierto al público en general, informa a los socios a adheridos al mismos, cuando por la entidad o magnitud social o económica de los mismos, puede inferirse al sujeto un perjuicio en sus derechos constitucionalmente protegidos.
Por otra parte, la calidad de público que la constitución nacional enfatiza y se halla ausente en la provincial de Córdoba, no hace alusión, a nuestro entender, a la personalidad del titular del registro de que se trate, ni a la circunstancia que se brinden a terceros de modo amplio, sino que debe ponderarse a la luz de los valores afectados o susceptibles de serlo [12] . No dejamos de entender que tal parámetros, en una sociedad de masas como la que nos hallamos inmersos, puede presentar dificultades para un deslinde preciso entre lo público y lo privado. Pero no hemos hallado otro modo de ponderar la cuestión que tenga a la vez, la flexibilidad y precisión para no constituirse en óbice a la efectiva operatividad de la garantía constitucional.
Asimismo, la norma constitucional provincial, a más de proscribir cualquier forma de utilización discriminatoria de la información almacenada, dispone como principio la confidencialidad de la misma respecto de los datos personales de los sujetos, y establece como límites al uso de la informática, a ser reglamentados por ley, el honor, la intimidad personal y familiar, y el ejercicio pleno de los derechos.
La Constitución Nacional ha instituido al hábeas data como una acción de amparo especial.Y la de Córdoba si bien no lo establece de forma expresa y habla del derecho a conocer, rectificar, actualizar y suprimir información, resulta obvio que se alude de modo implícito y necesario a una acción de tipo procesal.
Asimismo, de la ubicación y forma del tratamiento del tema por el constituyente provincial, surge de modo claro la autonomía de la materia del hábeas data respecto del amparo, en virtud del criterio de regulación diferenciada seguido en nuestro texto constitucional provincial.
Es igualmente un rasgo distintivo el que la carta magna provincial deje librada la determinación concreta de la misma a la regulación legal reglamentaria, sin fijar carácter alguno respecto de ella. Da así al legislador un amplio margen de maniobra, sólo limitado por la eficacia del instituto que se proyecte respecto de la función constitucional de aseguramiento que ha cumplir, y el respecto del piso mínimo establecido por la Constitución Nacional.
No debe olvidarse al respecto que, en esta materia, el art. 43 de la Constitución Nacional establece un piso que no pueden desconocer los ordenamientos provinciales, siendo inconstitucional todo lo que se disponga en contrario. Quedan las provincias en libertad de establecer un plus sobre tal marco. Este piso se refiere más a la efectividad de la protección que se dispense a los derechos constitucionales establecidos en el marco nacional, que a la estructuración propiamente dicha de dicha sistema, sobre el cual, a condición de respetar la efectividad del piso nacional, gozan de amplitud para determinar.
Especialmente, en cuento se trata de institutos de garantía de derechos, pues las «… garantías que dan cobertura a derechos admiten ser más amplias y mejores cuando se destinan a funcionar en los tribunales de provincias, porque estamos en el ámbito propio del derecho procesal que es de competencia provincial» [13] .
Entendemos por tanto que las diferencias entre ambos ordenamientos, resultan perfectamente compatibles, atento que la norma constitucional Nacional tan sólo fija un piso de mínima, respecto de lo que debe ser el hábeas data, admitiéndose en tanto se cumpla con el mismo (como lo cumple nuestra constitución provincial), la posibilidad de una diferente regulación, en todo cuanto no afecte el «núcleo duro» de la figura, constitucionalmente asegurado por el art. 43, 3º párrafo de la Constitución de los argentinos. Tal posibilidad, por otra parte, surge de la propia forma federal de gobierno adoptada por nuestro país [14] .
Nada obsta, consecuentemente, a una regulación legal con perfiles propios de la acción en nuestra provincia, que respete, en virtud del carácter supremo de la norma constitucional nacional, dicho piso mínimo de exigencias al que se aludido anteriormente.
Por ello, y en virtud de las facultades que le son propias, en 1999 la legislatura sancionó la ley Nº 8803, de acceso a la información del estado, estableciendo un procedimiento administrativo breve y expedito para procurrarse los mismos de parte de toda persona interesada, y instituyendo la vía del amparo en caso de dengatoria infundada de tal requerimiento de acceso.
A mérito de la antedicha norma, toda persona tiene el derecho a solicitar y recibir información pública de cualquier órgano del Estado provincial, centralizado o descentralizado, cuestiones admnistrativas de los poderes legislativo y judicial e inclusive de empresas en que el estado tenga una participación predominante.
La misma, que guarda analogías con otras normas similares, por caso la ley 104 de la ciudad de Buenos Aires, no hace sino reglamentar las diversas disposiciones constitucionales de nuestra provincia, que buscan asegurar la transparencia y publicidad de los actos producidos desde el estado, como los arts. 1, 2, 9, 15, 19 inc. 9 y 10, 35, 41(primera parte), 50, 52, 53, 60, 108, art. 144 inc. 7, art. 148, 166 inc. 9, 176, 186 inc. 12.
De todos ellos, destacamos en especial el art. 15, que trata de modo específico la cuestión, el cual expresa: «Los actos del Estado son públicos, en especial los que se relacionene con la renta y los bienes pertenecientes al Estado Provincial y municipal. La ley determina el modo y la oportunidad de su publicación y del acceso de los particulares a su conocimiento».
Asimismo, la misma debe reunir los caracteres de: a) completa (debe contener la totalidad de los datos vinculados a la cuestión que se requiere); b) veraz (reflejar la realidad registral existente); c) adecuada (capaz de satisfacer la necesidad de información que persigue el requirente); d) oportuna (birndada en tiempo para satisfacer el requeriento. Esto se cumple con su puesta a disposición en los plazos que la presente norma establece).
Si bien queda excluído del alcance de la norma, el acceso a información referente a la actividad propia de los poderes legislativo y judicial (trámite de sanción de leyes y expedientes judiciales), ello no obsta a su acceso en virtud de los principios constitucionales antes reseñados o de las normas que dentro de su esfera sanciones dichos departamentos del estado.
Asimismo, en las leyes Nº 8835 y Nº 8836, sancionadas en marzo de 2000 como parte del marco jurídico con que debía encararse la refroma del estado provincial, reglamentaron entre otros derechos de los habitantes de la provincia, los derechos específicos a la información en materia de salud [15] , educación [16] , seguridad [17] , asistencia social [18] , así como el establecimiento de nuevas formas de acceso y publicidad de los actos de gobierno bajo soporte informático.
En la primera de ellas, además se establece el principio rector de la conducta del estado provincial en materia de brindar información en su art. 10, el cual establece como que deberá suministrarse toda la información disponible en lenguaje simple, preciso y de fácil acceso sobre la gestión y servicios existentes, criterios de admisión, trámites que deben realizarse, estándares de calidad, desempeño, plazos, costos, y funcionario responsable.
Por último, con fecha 25 de octubre de 2000, la legislatura provincial sancionó la ley Nº 8891, que regulaba la materia de la protección de datos personales. La misma seguía en casi todo su texto a la norma nacional, salvo que reeemplazaba el sistema del consentimiento de los titulares de datos, por el de la notificación de los responsables de registro a los mismos, a partir del cual se disponía de un plazo para oponerse.
La regulación respecto de los derechos y deberes de titulares de datos y responsables de registros, se sobreponía con la ya establecía en la ley nacional Nº 25326, que resultaba de aplicación nacional en cuanto a tales temas, por lo que era de esperarse problemas en cuanto a la compatibilización de ambos ordenamientos, especialmente cuando en el presente, las bases de datos en red, no se hallan en un lugar físcio determinado, y a la vez, se encuentran presentes en todos elllos.
Respecto de la acción de hábeas data, la misma se limitaba a declarar aplicables al respecto, las normas del amparo, a regular los requisitos de la demanda, alguna cautelar específica, y el contenido de la sentencia [19] , dejando por lo demás, sin regulación los demás aspectos específcios de la figura.
Por misiva del 10 de noviembre de 2000, a la que se individualizó administrativamente como 3205 N – 00, el poder ejecutivo provincial comunicó al órgano legislativo, que había vetado la ley antes citada, en los términos de los artículos 112, 114, 144 (Inciso 5°) y concordantes de la Constitución Provincial.
En la fundamentación de la medida, se exponía que la norma provincial debía tener plena armonía con la legislación nacional, y que la reciente vigencia de la ley nacional imponía un tiempo prudencial de análisis (máxime cuando en su artículo 44, se invita a las Provincias a adherirse a las normas que fuesen de aplicación exclusiva en jurisdicción nacional). Resaltaba en este sentido que resultaba incuestionable la conveniencia de aplicar una legislación única y uniforme en todo el páis, por lo cual hasta tanto concluyera el tiempo de evaluación y análisis de la ley nacional, consideraba conveniente observar totalmente el proyecto remitido.
La promulgación parcial de la ley 25.326, con un veto del ejecutivo a un artículo y parte de otro, ha venido a cubir en el orden nacional lo referente a la reglamentación de la acción de hábeas data, a la que también denomina como «acción de protección de datos» [20] . Pero tan sólo a nivel federal, dejando librado a las provincias, por imperativo constitucional, el establecimiento de acciones análogas para sus respectivas jurisdicciones, o el adherir a la regulada en dicha ley.
Observando la realidad de la provincia de Córdoba, vemos que la protección a los datos que pudiesen registrarse en organismos públicos, se halla suficientemente cubierta en la legislación en vigor, y la que surge de la aplicación de la parte pertienete de la ley nacional 25326. Pero el veto de la ley provincial Nº 8891, nos deja sin reglamentación procesal para el hábeas data. Un vacío que necesariamente debe ser llenado, lo que nos pone ante la disyuntiva de adherir a los términos de la acción nacional, como la misma ley 25326 lo prevee, o dictar una normativa propia.
Nos inclinamos por lo segundo. Máxime cuando en la norma nacional, han quedado importantes aspectos sin regular, tales como la vía recursiva, y que por remisión al amparo, se nutre de sus carencias, por citar un solo ejemplo. Creemos que puede reglamentarse la figura del hábeas data con una mayor eficacia y autonomía que la acción diseñada en la ley nacional. Por ello, el camino de adherir a la misma, supone quedarse a mitad de camino en la elaboración de una acción acabada de hábeas data.
A mérito de lo antes expresado, es que entendemos se justifica plenamente la regulación a nivel provincial de la figura del hábeas data. No sólo porque se trata de una facultad que la provincia ha reservado al moento de organizar el Estado Nacional, sino para avanzar en el logro de un sistema eficaz y eficiente de protección en materia de protección de los datos de las personas.
Imaginamos para Córdoba, una ley de hábeas data breve y de estricto corte procesal, similar en su estructura a las sancionadas por las provincias de Chaco y Formosa.
Pero a diferencia de éstas normas, en cuanto a su contenido, no debe quedarse en una mera adaptación del molde procesal del amparo, sino avanzar en el diseño de las particularidades procesal propias que la especificidad de la acción requiere. En lo que sea idéntico al amparo, bastará con remitirse a las normas ya vigentes.
[1] Arts. 43, 3º párrafo y art. 50, respectivamente.
[2] Carranza Torres, Luis, Práctica del Amparo, Alveroni Ediciones, Córdoba, 1998, pag. 159.
[3] Art. 50 del texto reformado del año 1987.
[4] Art. 43, 3º párrafo del texto reformado en el año 1994.
[5] Conclusión nº 4 del Tema B de la comisión de Derecho Procesal Constitucional y Administrativo del XX Congreso Nacional de derecho Procesal, realizado en San Martín de los Andes, en octubre de 1999 publicada en Jurisprudencia Argentina, Nº 6176, del 12 de enero de 2000.
[6] Autos «Urteaga Facundo R. c/ Estado Mayor conjunto de las Fuerzas Armadas», fallados el 15/10/1998, LL 1998-F, pag. 237. Lo entre corchetes nos pertenece.
[7] Cámara de Apelaciones Civil y Comercial Nº 7 de la ciudad de Córdoba. Sentencia Nº 112 del 27/10/1998 en autos: «Delgado Néstor Rubén y otros c/ Seven s.r.l.-Amparo (Hábeas Data)». Fuente: Semanario Jurídico Tº 80- 1999-A, pag. 427.
[8] En la reforma constitucional de 1987, que incluyó como art 53 de nuestra primera ley provincial, lo siguiente: «La ley garantiza a toda persona, sin perjuicio de la responsabilidad del Estado, la legitimación para obtener de las autoridades la protección de los intereses difusos, ecológicos o de cualquier otra índole, reconocidos en esta Constitución».
[9] Dromi, Roberto, Derecho Administrativo, 4º edición, Ediciones Ciudad Argentina, Buenos Aires, 1995, pag. 436.
[10] Conf. Carranza Torres, Luis, Proceso y Procedimiento en Córdoba, volumen 2: El proceso administrativo, Alveroni Ediciones, Córdoba, 2000, pag. 35 y sgtes.
[11] Dromi, op. cit., pag. 442. Lo entre corchetes nos pertenece.
[12] Conf. Carranza Torres, Luis, El límite de lo público y lo privado, Revista La Ley Córdoba, año 17, nº 2, marzo de 2000, pag. 241/2.
[13] Bidart Campos, German, Manual de la Constitución Reformada, Tomo I, pag. 511, Ediar, Buenos Aires, 1998.
[14] Art. 1º, 5º, 75º inc. 12, 121º, 122º, y 126º a contrario sensu.
[15] Art. 6° (ley 8835): Derechos a la salud: Todas las personas de la provincia tienen derecho a: c) Conocer el nombre, apellido, cargo y función de los profesionales de la salud que lo atiendan.d) Obtener información adecuada de sus derechos en cuanto paciente y cómo ejercerlos. g) Respeto a su intimidad mientras permanezca en el hospital público y a que se trate, confidencialmente, toda la información y documentos sobre su estado de salud. h) Recibir información completa sobre el diagnóstico, tratamiento y pronóstico de su enfermedad, en lenguaje sencillo y entendible, siempre que ello no altere su equilibrio psicosocial. j) Recibir la información necesaria para autorizar, con conocimiento de causa, todo tratamiento que pretenda aplicársele.
k) Participar en las decisiones relacionadas con su tratamiento y a solicitar al hospital la entrega documentada del plan terapeútico a obsevar luego del alta médica.l) Negarse a recibir tratamiento y a que se expliquen las consecuencias de esa negativa, sin perjuicio de las medidas que corresponda adoptar frente a patologías que impliquen riesgo cierto para la sociedad. m) Revisar su história clínica y obtener una copia documentada de la misma. n) Obtener información integral -en forma documentada- sobre investigaciones científicas que se propongan y, en su caso, negarse a participar en ellas.
[16] Art. 5° (ley 8835): Derecho a la educación: Todas las personas de la provincia tienen derecho a: b) Conocer el nivel de calidad educativa de las escuelas de la provincia a través de los estándares establecidos. c) Acceder los padres o responsables a todo tipo de información que los establecimientos escolares tengan sobre el desarrollo educativo de sus hijos o representados y, en su caso, a solicitar el traslado a otra escuela si estimara insuficiente el nivel de la función educativa prestada, lo que deberá asentarse en los antecedentes de la escuela y valorarse en oportunidad de hacerse la evaluación del estándar de calidad.
[17] Art. 7°(ley 8835): Derechos a la seguridad: Todas las personas de la provincia tienen derecho a: a) Conocer el nombre, apellido y cargo del funcionario policial que lo atienda en cualquier llamado o requerimiento de seguridad. c) Conocer informáticamente -a través de la página web- sobre todos los servicios que brinda la Policía de la Provincia. d) Recibir tratamiento confidencial y reservado de la información sobre actividades ilícitas llegadas a su conocimiento y que suministre a la autoridad. f) Recibir información sobre el estado de las causas policiales y judiciales en las que tuviera un interés legítimo. g) Solicitar asesoramiento de prevención en materia de drogadicción. h) Requerir instrucción con relación a leyes penales, procesales y contravencionales. j) Requerir reserva de la identidad de su persona en casos de violencia familiar o atentado al pudor.
[18] Art. 8°(ley 8835): Derechos de solidaridad: Todas las personas de la provincia tienen derecho a: a) Recibir información documentada sobre los programas asistenciales y sociales que implemente el Estado provincial para aquéllos comprendidos en los grupos sociales más vulnerables, como niños, adolescentes, personas con capacidades diferentes, mujeres jefas de familia, ancianos y desocupados. b) Requerir el acceso a los programas, lo que deberá concretarse mediante reglas técnicas de equidad y solidaridad automatizadas, transparentes, sin discriminación alguna ni utilización política por parte del funcionario a cargo del mismo.
[19] ARTICULO 10°.- LA acción de protección de los datos personales prevista en el Artículo 1°, se tramitará según las disposiciones de la presente Ley y por el procedimiento que corresponde a la acción de amparo Ley nº 4915. en lo que fuere compatible. ARTICULO 11.- LA demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable o usuario el mismo. En el caso de los archivos, registros o bancos públicos, se procurará establecer el organismo estatal del cual dependen.El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona y los motivos por los cuales considera que la información que le atañe resulta discriminatoria, falsa o inexacta. El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial y comunique dicha situación a quienes haya suministrado la información.El Juez deberá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información que se trata. ARTICULO 12.- LA sentencia especificará si la información debe ser suprimida, rectificada, actualizada o declarada confidencial, estableciendo un plazo para su cumplimiento.En cualquier caso, la sentencia deberá ser comunicada a la autoridad de aplicación, que deberá llevar un registro al efecto.
[20] Para un mayor detalle respecto de lo normado en la ley nacional de protección de datos personales, puede verse Carranza Torres, Luis, «La acción de hábeas data en la nueva ley N º 25.326», Diario Judicial del 20/11/2000, sección nota de fondo, en http://www.diariojudicial.com/mail/noticia.asp?ID=5028; también del mismo autor, «La autodeterminación informativa en el derecho argentino. Reconocimiento de nuevos derechos en materia de protección de datos», Suplemento de Derecho Constitucional de El Derecho, Serie Especial, Nº 10.158, Año XXXVIII, del 22 de diciembre de 2000, pag. 8.
La principal obligación es el establecimiento de un «Documento de Seguridad» donde se llevarán todos los registros oportunos en materia de Protección de Datos. Cada documento es distinto según el nivel de seguridad que se deba adoptar. Dicho documento deberá estar siempre disponible por si se lo requiere la Agencia de Protección de Datos, y no ha de estar inscrito: lo que se inscribe es el fichero -nos referimos a los datos que sobre el fichero se le pidan-, no el documento. Por cada fichero debe de existir un Documento de Seguridad, sin embargo, pensamos que es más flexible agrupar todos los ficheros según el nivel de seguridad de éstos y realizar un Documento de Seguridad para cada uno de ellos (por ejemplo, un Documento de Seguridad para todos los ficheros que contengan Medidas de Seguridad de nivel básico).
El documento está compuesto de dos partes: un texto explicativo donde redactaremos las obligaciones del personal, obligaciones generales, medidas a adoptar, etc, y un libro de registros donde llevaremos los registros oportunos. La Ley advierte que ha de ser el Responsable del Fichero (en nivel básico) o el Responsable de Seguridad quien proceda a la cumplimentación, pero creemos necesaria la ayuda de todo el colectivo de la entidad en cuestión.
Haga varias copias del Documento de Seguridad y manténgalas a mano. A tenor del artículo 44.3 h) se considera infracción grave mantener los ficheros sin las debidas Medidas de Seguridad pertinentes establecidas en el Reglamento.
En la actualidad, muchos negocios prefieren externalizar parte de sus servicios a ciertas compañías especializadas en un determinado aspecto normalmente técnico. Así, el apartado informático lo depositan en manos de empresas especializadas en este ámbito, y se ahorran el coste que supone el tener un departamento en su propio negocio. De la misma manera, muchas gestorías se encargan de la contabilidad de una empresa, o gestionan las nóminas de los empleados. El dueño de un negocio no tiene porqué ser «experto en todo», y prefiere que otros que son profesionales en otros ámbitos, se encarguen, de manera mas adecuada de una faceta de su empresa. Esto lleva un traslado en archivos y datos que contienen información personal bastante importante, y respecto a esto hay que llevar una política adecuada para cumplir con los requerimientos de nuestro Ordenamiento Jurídico.
A todo esto se conoce como «outsourcing», que podríamos traducir literalmente como «externalización» en su acepción castellana. En el outsourcing más amplio, una empresa se involucra con otra para conseguir un fin común, en una especie de «joint venture» pero sin la creación de una nueva empresa. En el outsourcing más técnico o menos amplio, no existe esa unión, consonancia e intereses unidos como sí que los hay en el primer caso.
Un ejemplo del primer caso sería el siguiente: el departamento informático de una determinada empresa quiere realizar un programa sobre las distintas carrocerías de un determinado modelo de coche. Se involucra entonces con una empresa automovilística para que unos aporten la faceta técnica-informática y otro toda la parte técnica del mundo del motor. El resultado es que se cuentan con profesionales muy cualificados de ambos ámbitos, y las ganancias producidas atañen a los dos, ya que a mayor eficiencia, mayor calidad y mayores ventas. En este caso, durante unos meses o años e incluso por un periodo indeterminado de tiempo, varios profesionales ajenos en principio a la empresa «A» accederán a muchos datos de la empresa «B».
El ejemplo del segundo caso es mucho más sencillo: hablamos, en esta ocasión, de la típica gestoría que lleva las nóminas de los empleados de un determinado negocio. Aquí, igualmente, una segunda empresa accede a una probablemente ingente cantidad de datos contenidos en ficheros de los empleados de la empresa A, ya que para que la gestoría realice correctamente su negocio necesita de dicha información. Sin embargo, aquí el interés existente en el primer caso no existe: se trata de una relación probablemente temporal aunque indefinida, pero aquí no se produce la total integración del personal de la empresa «A» en la «B» para la realización de un fin común de la manera mas apropiada posible. No obstante, la problemática en Protección de Datos también parece clara. Ambos ejemplos exigen respuestas claras, de manera que no se limite el fenómeno del outsourcing, pero que no obstante, la Protección de Datos esté a salvo, y la salida de datos de un negocio se haga con las debidas garantías.
Varias son las recomendaciones llegados este punto:
-Si usted trabaja con asesorías, debe de prestar atención al documento donde se contrataron los servicios. Dicho contrato (usualmente, de prestación de servicios), debería tener una cláusula específica de Protección de Datos donde se hiciera referencia al destino de los mismos y sus posibilidades de tratamiento. Si no existe, usted debería de exigir su inclusión, o al menos la firma de un documento aparte donde se haga referencia al uso que la empresa gestora va a hacer de los datos personales de su negocio o empresa.
-La ley afirma que «la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas». Por tanto, todos esos extremos deberán estar clarificados.
-Una vez terminada su relación con la gestoría o empresa, dichos datos deben de ser destruidos, o devueltos al responsable de su empresa, incluyendo todos los documentos donde hubiere algún dato de carácter personal.
-Sin embargo, existe la posibilidad de que la empresa gestora realice un incumplimiento contractual en esta materia. El apartado 4 del artículo 12 habla de esa posibilidad: «en el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente». Además de un incumplimiento contractual por la que se pueden pedir las lógicas indemnizaciones, el responsable (el que ha manejado los datos en la gestoría) estará sometido al régimen sancionador de la LOPD. Igualmente, será también responsable el Responsable de Seguridad y Encargado del Tratamiento de la empresa que ha solicitado los servicios de la gestoría, como responsables y autores del acceso de esos datos a una empresa tercera.
-Igualmente, cesiones de datos temporales o aleatorias, de manera breve, pueden encuadrarse dentro del supuesto del artículo 11 «comunicación de los datos». Como regla general, se pide el consentimiento del afectado para que se produzca esta comunicación. En dicho artículo, se afirma que dicho consentimiento no se hará efectivo cuando:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
De todas estas posibilidades, la que mas nos interesa es la «c». La comunicación de los datos ha de estar en consonancia con la finalidad de los mismos. Además, es necesaria una relación jurídica. En estos casos NO es necesario el consentimiento del afectado. Como regla general, «un acceso a los datos por cuenta de terceros» equivale a un acceso homogéneo, temporal e indefinido, donde se establece una relación estable entre dos empresas, y una de ellas necesita el acceso a los datos de la otra. Una «comunicación de los datos» tiene otras características, en tanto se encuadra mas en situaciones aleatorias no homogéneas y casi puntuales de acceso a un determinada información o informaciones referente a unos datos personales. Aquí no existe un contrato donde se necesiten regular estos extremos. Esta segunda opción es claramente mucho más flexible.
El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El caso particular es el anteriormente mencionado: quien accede a los datos para prestar un servicio al responsable del fichero o tratamiento en los términos del artículo 12 de la Ley. En muchas ocasiones, el organismo o empresa que pidió los datos realizará el tratamiento en sus propias instalaciones con su personal. Otras veces, por distintos motivos (averías, mantenimiento de equipos…) los datos se tratarán por un tercero, en sus instalaciones y con su personal, tras la firma del correspondiente contrato. El responsable del fichero es la persona «dueña» de los datos, el Encargado del Tratamiento es quien realiza el servicio. Tanto unos como otros deben de estar perfectamente identificados en el Documento de Seguridad.
Quien efectúa el tratamiento para el responsable se obliga a prestarlo en el nivel de calidad pertinente, observar confidencialidad y tomar las medidas adecuadas para garantizar la seguridad de la información. El Encargado del Tratamiento es un tercero que trata los datos personales siguiendo las instrucciones del responsable si bien no bajo la dependencia o autoridad del mismo desde el punto de vista laboral (esto es importante, ya que si no, no nos encontraríamos en la órbita del artículo 12). No es un empleado del responsable: le presta sus servicios al amparo de un contrato de esta índole cuyos requisitos básicos aparecen diseñados por la Ley, con carácter imperativo, en dicho artículo.
Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe dicha comunicación, hay que entender que no le será aplicable el artículo 11.5 y, por lo mismo, el tercero no estará sometido a los preceptos de la ley a salvo las específicas normas del artículo 12.
En consecuencia, si el tercero tiene que someter al tratamiento los datos a los que accede, dicho tratamiento no requerirá el consentimiento del afectado. Dicho de otra forma, se entiende que dicho consentimiento del interesado, prestado originariamente al responsable del fichero, se extiende al tercero por la vía de la relación de prestación del servicio al responsable del fichero.
Otra forma de explicar esta idea estribaría en considerar que no ha lugar a la prestación del consentimiento del afectado para el tratamiento de los datos por el tercero, en cuanto que el sujeto activo de dichos tratamiento es el propio responsable por cuya cuenta actúa el prestador de los servicios, conclusión que resulta de los términos del artículo 3 g de la ley.
Realmente, quien accede al fichero es el tercero, el prestador del servicio, quien, por los mismo, se encarga del tratamiento por cuenta del responsable.
Por último, es claro que si el Encargado de tratamiento incumple la obligaciones -por ejemplo, destinando los datos a otra finalidad distinta-, dicho Encargado será considerado responsable.
Universidad Pablo de Olavide (Sevilla)
La apuesta que hacen las universidades por mantener y/o fomentar una formación continua va aumentando a medida que la sociedad lo demanda, por eso no es de extrañar que nos encontremos con proyectos de diversa índole, sean nacionales, internacionales o regionales que elevan las posibilidades de que el alumnado en general vaya mejorando su competencia y que su preparación se convierta en un importante capital humano, como ya lo está siendo para el mundo empresarial. Por eso y gracias a los Proyectos de Excelencia que preparan los gobiernos, dedicaré estas páginas al comentario de un congreso que se celebró en la Universidad Pablo de Olavide de Sevilla sobre la Protección de datos, intimidad y las nuevas tecnologías, de la mano de D. Alfonso Galán Muñoz, Profesor Titular de Derecho Penal de dicha universidad y conocedor en profundidad de las nuevas tendencias por las que atraviesa el Derecho, en especial lo referente a la problemática de un Derecho Penal Informático o de un Derecho Penal Tecnológico. Tanto la primera como la segunda denominación son valederas y se usan en la actualidad dentro de los amplios grupos de los que se compone la » familia de penalistas» a la que podemos recurrir sencillamente, mediante la consulta de los trabajos que nos van dejando y que para nosotros, puede suponer la base de nuevos planteamientos que pudieran establecerse más adelante.
Comenzando con la reseña a la que me debo en este momento, tuvimos en primer lugar la posibilidad de escuchar la ponencia del Profesor Titular de Derecho Civil, D. Francisco Infante Ruiz que trató de la privacidad electrónica y las redes sociales. No podemos, ni debemos representar en estas líneas la conferencia entera del docente, pero subrayando lo más relevante a modo de ver de todos, diré que se expusieron 3 grandes ejemplos de las repercusiones del derecho a la intimidad en las redes sociales:
El Profesor Infante no quiso olvidar la Propuesta del Reglamento de la UE de Protección de Datos de 2012, en el que se encuadra el tema en la Protección de Datos con pinceladas como por ejemplo, los artículos en Internet. Se trata de un marco homogéneo que reduce el marco de elección de legisladores y con una política más integradora y que ha dado lugar a interpretaciones dispares. Además se prevé una protección más efectiva para las redes sociales.
Terminaré la sinopsis de lo analizado por el Profesor Infante mencionando un concepto que en mi opinión, no pasó desapercibido como es el de la descontextualización y que presenta dos características perfectamente diferenciables entre sí; por un lado, los individuos no respetan las normas de distribución y de adecuación contextuales; y por otro lado, la amplia difusión de la información inherente a las interacciones, sobrepasando de esta forma los grados de información. Su consecuencia más inmediata es la amenaza que supone para la protección de datos como sobre la privacidad.
La segunda ponencia llevaba por título:
«Nuevas tecnologías e intimidad en el ámbito penitenciario», del Profesor Titular de Derecho Penal de la Universidad de Valladolid, D. Ricardo Mata y Martín y que afortunadamente ha recibido la acreditación como catedrático.
El Profesor Mata cuando habla de las nuevas tecnologías y la intimidad, lo hace en un sentido amplio, sobretodo en aquellas situaciones en las que existe un sistema de control electrónico. El interno dejó de ser un objeto y pasa a ser sujeto de derechos y obligaciones, por lo que hay una peculiar posición jurídica con relación especial de sujeción. De hecho, el TC admite que pudiera haber existido una relajación para los derechos fundamentales del recluido. El TC en determinados ámbitos se plantea limitaciones a la libertad como por ejemplo los registros en la celda, dormir con otro recurso, cacheos con desnudos integral, etc. Existen problemas diversos en el interior del centro penitenciario con determinados controles, como detectores de metales, videovigilancia reservada para espacios comunes (patios, talleres) y no para celdas.
La videovigilancia en el Reglamento Penitenciario, hace referencia a la observación, pero no a la videovigilancia, existiendo la posibilidad de interceptación de comunicaciones a posteriori, distintas a las interceptaciones con abogados, salvo en casos de terrorismo y con autorización judicial.
También comenta este profesor que dentro del campo de la Protección de Datos, se introdujo la posibilidad de realizar base de datos para la seguridad de los propios internos.
A modo de referencia interna, en la conferencia se destacó que en los años 60 del pasado siglo XX, en Harvard surgen procedimientos de control remoto para locos, enfermos y conocer síntomas neurológicos; posteriormente en los años 70, se piensa a aplicar esto al control de los penados, siendo la primera vez en California, donde un juez de California pone una argolla de control, observando los problemas que puedan surgir. En el caso de los sistemas de la administración penitenciaria española evita el sistema de tobillera electrónica, sistemas de identificación de voz, con llamadas aleatorias, sistemas gps con un control total de la persona, sabiendo si hay posibilidad alguna de estar en zonas prohibidas, sistemas para controlar si el recluso ha tomado o no alcohol.
Como tercera ponencia, aparece que la ofreció la Profesora de Derecho Constitucional de la UPO, María Holgado y que se llamada:
«La protección constitucional de la intimidad frente a las nuevas tecnologías». Destacamos de manera breve, (puesto que estos temas dan para mucho) que nos encontramos ante un avance tecnológico que permite que los medios de comunicación estén al alcance de nosotros como por ejemplo: el derecho a ser informado, la libertad de información, con el «periodismo ciudadano» que nos facilita recibir información y mandarla; éstos derechos inciden de forma positiva, pudiendo existir lesión de nuestra esfera íntima como puede ser el caso de la fotografía que se difunde a muchas personas. Por último, destacaría dentro de la intervención de la Profesor Holgado que el correo electrónico se ha incorporado al ámbito laboral y que puede incidir en el derecho a la intimidad y al secreto de las comunicaciones.
Continuamos con este magnífico análisis de las explicaciones dadas por los ponentes; casi todos ellos de la propia UPO, por lo que a pesar de estar la sala abarrotada y con una alta participación de alumnos de máster y doctorado fundamentalmente, nos sentíamos muy cómodos de ver cómo compañeros anteriores que tuvimos o profesores iniciándose en su carrera docente, ya habían adquirido una gran experiencia y lo que es más importante: dispuestos a compartirlos con todos nosotros. Como venía diciendo, la siguiente exposición venía marcada por la voz del Profesor de Derecho Administrativo, D. Francisco Toscano Gil y que llevaba por título: «Publicaciones administrativas y Protección de Datos». Aquéllas afectan al derecho de la protección de datos, concibiéndose la publicación como una forma de revelar datos o información a terceros. Las Administraciones Públicas hacen publicaciones que no incluyen derecho a los datos personales, en el caso contrario, hay un carácter singular, siendo su finalidad la de comunicar el contenido del acto. La Ley 30792 habla de «publicación supletoria», en sustitución de la notificación para cumplir sus requisitos formales. La ley permite también otras publicaciones por motivos de transparencia como es el caso de las publicaciones por ayudas económicas.
Por último, destaco una información que espero que estén de acuerdo con el Profesor Toscano y es que desde 2007, con la Ley de Administración Electrónica se da un impulso a la publicación por medio electrónico que tiene una mayor difusión que la publicación en papel; lo que ocurre es que nuestro derecho todavía no está preparado para esto. La habilitación legal es importante porque la reforma de 2007, conlleva la modificación por publicar las notas y datos de alumnos; después ya se vería con el tiempo si la autorización legal protege o no el derecho a la proporcionalidad.
La ponencia final corrió a cargo del Profesor Alfonso Galán, Director a la sazón de este congreso y que nos ofrece un muestreo de lo que él se ha especializado y consecuentemente se ha diferenciado de los demás: la interrelación Tecnología-Derecho Penal; el título de su exposición es fácil de deducir:
«La protección penal de la intimidad en internet». Sobre el derecho a la intimidad como han dicho tantos expertos se ha escrito mucho. El orador habla en este caso de un primer concepto de intimidad, como es el derecho a estar solo y con una connotación negativa, habiendo ulteriormente situaciones en los que los datos muestran perfiles cuando los procesamos, conociendo de esta manera la intimidad de las personas, pasando, por tanto, a tener un derecho nuevo desarrollado por el TC alemán, que se expande y que llevó a mantener que la protección de datos personales es una manifestación de la autodeterminación informativa. En lo atinente a la protección de la intimidad en el ámbito penal, debemos considerar al derecho penal como la última ratio. Destaca la protección de la intimidad en sentido estricto y la inviolabilidad de las comunicaciones, captando las interceptaciones de éstas, sin orden judicial, por mencionar un ejemplo.
Desde una perspectiva subjetiva, los penalistas estructuran los elementos que delimitan las conductas típicas sin consentimiento, y sin estar permitido por los preceptos de la LOPD. Parce ser que el Profesor Galán no está de acuerdo con esto último. Según él, es más relevante el concepto de dato personal que da el artículo 3 LOPD, por lo que se intuye que el concepto está en cierto modo restringido. En lo expuesto en su momento por el Profesor Galán, esto determina que todas las captaciones o interceptación de datos sólo tiene repercusiones penales, aunque también pueden constituir infracciones administrativas.
También quiero mencionar el comentario que se hizo acerca del papel que ha hecho el legislador sobre la intervención del Derecho Penal, cuando la actuación se ha hecho en perjuicio de tercero, con la lesión a la intimidad y al honor.
Como complemento a todo lo anterior, recordemos que las redes sociales son una modalidad de web 2.0 con un sistema de búsqueda de ficheros con datos que pueden dar lugar a delitos. La jurisprudencia señala que Internet no es fuente de acceso público como es caso de un periódico. Para curiosos que quiera saber un poco más, pueden consultar la Sentencia del TEDH del caso Malone vs United Kingdom.
Pues bien, hasta aquí lo que fue el congreso en líneas generales, sin olvidar tampoco la participación de otros expertos mediante el envío de comunicaciones a exponer en 10 minutos y los debates configurados (para una mayor participación de los asistentes) que resultaron enriquecedores, más que nada para todos aquellos que apenas tenían un conocimiento básico y que ha permitido que gracias a estas jornadas no sólo se despierte la chispa y que se considere esto como una curiosidad, sino sobretodo, que esa curiosidad se transforme en nuevas sesiones con nuevos ponentes y donde proliferen libros que formen e informen de las consecuencias que nos están provocando las nuevas tecnologías en la intimidad y de lo que se suscitará en un futuro, si no ponemos coto a todas las invasiones que sufrimos y que creo que están por venir. ¿Algún día tendrá esto un final?.
El IAD (Instituto Andaluz de Deporte), dependiente de la Consejería de Turismo, Comercio y Deporte de la Junta de Andalucía, organizó los pasados días 13 y 14 de octubre en el Estadio Olímpico de Sevilla un foro «para informar a las federaciones andaluzas sobre la gestión de estas entidades, su adaptación a la Ley de Protección de Datos y los seguros de accidentes.».
El mismo, que contó con la asistencia de unos 50 miembros de estos organismos, y que fue inaugurado por el Delegado de Turismo, Comercio y Deporte de Sevilla, Francisco Díaz Morillo, puso sobre la mesa «los derechos y obligaciones de las federaciones con las Administraciones públicas», para lo cual se contó con la colaboración de «asesores empresariales y de comunicación, responsables de otras entidades deportivas y de la Junta, así como con la dirección del presidente de la Confederación Andaluza de Federaciones Deportivas, Jesús Rossi».
Además de tratar asuntos más vinculados tradicionalmente con los organismos federativos, como «el seguro de accidente deportivo, y responsabilidad civil; los patrocinios; la justificación de las subvenciones públicas y las condiciones de los beneficiarios; las relaciones con los medios de comunicación», o la necesidad de implantar un sitio web «como espacio informativo entre los federados», llama la atención el protagonismo que se le dio a la adecuación a la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo, tema relevante por cuanto estos organismos son susceptibles de tratar datos personales sensibles, y por tanto su adaptación a la Ley es fundamental.
Esperemos que tomen ejemplo el resto de Consejerías y sus órganos dependientes, y que este tipo de eventos estén a la orden del día, para garantizar la protección del derecho fundamental a la privacidad de los ciudadanos en sus relaciones con los entes públicos.
Áudea Seguridad de la Información
Departamento Derecho NNTT
www.audea.com
Fuente: www.eldesmarque.es
Personas interesadas en conocer la seguridad online.
CEFORA Formación, nuevas tecnologías y nuevas profesiones. En Cefora como proyecto educativo nos hemos planteado la misión de facilitar la profesionalización de los vecinos y empleados de municipios del Sur de Madrid en el conocimiento de las nuevas tecnologías y nuevas profesiones. Cefora es un proyecto empresarial joven, que tiene detrás un grupo de profesionales con más de 10 años de experiencia
Calle Camara de Industria, 16
Carlos Guijarro Esteban
[email protected]
Tel. 916465306
Técnico en Seguridad de Redes
http://www.cefora.es/
La seguridad de la información es un concepto que abarca un conjunto de normas, que en muchas ocasiones de forma voluntaria, se adhiere una organización con el fin de mejorar los procesos y garantizar un mayor nivel de protección, minimizando y conociendo los riesgos con los que se puede encontrar.
No obstante, existen diferentes leyes que de una forma u otra, complementan el concepto general de seguridad, además de tratarse de normas de obligado cumplimiento. Van desde la conocida ley de protección de datos o ley de acceso electrónico a los servicios públicos, hasta diferentes regulaciones sectoriales que pueden afectar a diferentes ámbitos de negocio. De esta forma vamos a repasar de forma general aquellas normas que debe considerar cualquier organización:
La normativa española en materia de protección de datos se establece en la Ley Orgánica 15/1999, y viene regulada por el Real Decreto 1720/2007, cuyo objetivo es plantear un marco de actuación en la empresa en torno a garantizar y proteger el tratamiento de datos personales, estableciendo una serie de medidas de seguridad tanto para ficheros automatizados, como en papel.
De forma complementaria a esta normativa, y compartiendo un mismo órgano regulador (la Agencia Española de Protección de Datos), se establece la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico. Su objeto es la regulación de las obligaciones de los prestadores de servicios en Internet, como por ejemplo la obligatoriedad de disponer de un Aviso Legal, así como la regulación de las comunicaciones comerciales por vía electrónica.
El Real Decreto 1/1996 establece la correspondencia de una obra con su autor, a través de una serie de derechos morales y de explotación con objeto de proteger el conocimiento. La propiedad intelectual tiene como relevante en el ámbito de la seguridad la obligación de contar con software original en la organización, ya sea propietario o libre, a través de una licencia de uso.
Aunque en la mayoría de las legislaciones internacionales se tratan de forma conjunta, la legislación española separa la propiedad industrial de la intelectual, regulándose a través de la Ley 17/2001 y cuyo fin es velar por los derechos sobre marcas y nombres comerciales. El organismo que se encarga de velar por esta norma es la Oficina de Patentes y Marcas, cuyo registro, de consulta pública, garantiza su eficacia.
Con el objeto de garantizar a todos los ciudadanos un servicio mínimo común en cuanto a condiciones de igualdad y precio, se aprobó la Ley 32/2003 General de Telecomunicaciones. Igualmente tiene como objeto esta normativa fomentar la competencia, promover el desarrollo del sector, gestionar el uso de los recursos en este ámbito y promover un mercado común europeo.
La firma electrónica en nuestro país se regula por la Ley 59/2003, cuyo fin es garantizar su eficacia jurídica y la prestación de servicios de certificación. De esta forma la firma electrónica adquiere un mismo valor que la firma manuscrita y su utilización debe quedar debidamente controlada, siendo un medio de identificación real cuya aplicación puede extenderse actualmente a la mayoría de las gestiones.
El reconocimiento del derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas nace con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, que permite (o permitirá) poder realizar los trámites y gestiones desde cualquier lugar y en cualquier momento, agilizando los trámites burocráticos en España. Todo ello bajo una política de seguridad que deben garantizar las administraciones públicas, constituido por un conjunto de principios y requisitos técnicos a través del Esquema Nacional de Seguridad (Real Decreto 3/2010).
La disposición de estas normas permite cubrir aspectos que de otra forma muchas organizaciones no establecerían como políticas y procedimientos en su rutina diaria. El actual régimen jurídico en torno a la seguridad de la información es uno de sus pilares básicos, permitiendo a las empresas y administraciones públicas a través de su cumplimiento dar cabida a los requisitos mínimos en materia de confidencialidad, integridad y disponibilidad en la gestión de la información.
Proyecto de Ley Orgánica sobre Protección de Datos de Carácter Personal
Exposición de Motivos
La amplia gama de derechos protegidos que contempla nuestra Constitución, la convierte en uno de los instrumentos más garantistas que ha regido la nación dominicana. Ella comprende inclusive aquellos derechos fundamentales de tercera generación que hoy día significan una protección a los derechos colectivos que antes no existía.
Dentro del ámbito de esta protección de derechos individuales se encuentra el mandato constitucional de legislar sobre el derecho a la intimidad y al honor personal contenido en el artículo 44. Pero este derecho posee la peculiaridad de desdoblarse en varios ámbitos de aplicación que ameritan por igual una protección efectiva.
Uno de esos ámbitos lo es la protección contenida en el numeral 2 de tan importante artículo y que refiere al derecho de toda persona de acceder a la información y datos que de ella o sus bienes existan en cualquier registro, sea oficial o privado; conocer el destino y uso que se haga de ellos y la posibilidad de exigir judicialmente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten sus
derechos. En definitiva, se trata sobre la protección de datos de carácter personal.
La protección de datos de carácter personal surge de la necesidad de adecuar los marcos normativos a la realidad de la sociedad actual: la sociedad de la información. Así lo establece la jurista dominicana, Rosalía Sosa: «el derecho a la protección de los datos personales de las personas se contrapone a la erosión y degradación que afectan a los derechos fundamentales ante determinados usos de la tecnología.»
Es por ello que la propia Constitución establece cuales son los principios que deben regir en cuanto al manejo de este tipo de datos, a saber: calidad, licitud, lealtad, seguridad y finalidad. Todo ello para proteger este ámbito de la intimidad que hoy día se encuentra vulnerable ante los masivos flujos de información que están al alcance de todos.
El principio de calidad implica que los datos de carácter personal que sean almacenados deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; la licitud establece que los datos no pueden tener finalidades contrarias a las leyes y/o al orden público; por su parte, el principio de lealtad impone la prohibición de recoger los datos por medios fraudulentos o desleales; el principio de seguridad impone a los responsables de almacenar este tipo de datos, adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado; por último, el principio de finalidad implica que el tratamiento de este tipo de datos sólo se haga cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.
Respondiendo a esta realidad y al mandato Constitucional hemos desarrollado la presente propuesta de Ley Orgánica sobre Protección de Datos de Carácter Personal.
Este proyecto ha sido elaborado siguiendo, en primer término, los parámetros constitucionales, y en segundo lugar, los lineamientos de otras legislaciones similares que colocarán a la República Dominicana a la par con países como Chile y España que ya cuentan con este tipo de normativa de avanzada.
De esta forma, el objeto del proyecto es garantizar la protección de los datos de carácter personal asentados en archivos, bancos de datos o cualquier otro medio de almacenamiento que sean objeto de tratamiento por parte de terceros, sean estos archivos de carácter público o privado, para que no sean objeto de un uso indiscriminado ni contrario a los principios establecidos por la Constitución dominicana.
De igual modo, se establece la tutela de los derechos de las personas titulares de la información y los medios con que cuentan para reclamar su respeto, tomando en cuenta el procedimiento de hábeas data ya establecido en la Ley Orgánica 137-11 del Tribunal Constitucional y de los Procedimientos Constitucionales.
Se crea, igualmente, la Agencia Dominicana de Protección de Datos con la finalidad de velar por el cumplimiento de esta normativa y regular y vigilar el manejo de datos de carácter personal dentro del ámbito nacional.
También se establece un sistema de sanciones administrativas para aquellas personas o entidades que incurran en infracciones y vulneren los derechos de los titulares de la información.
El proyecto como ya hemos dicho representa un avance hacia el Estado Social y Democrático de Derecho que establece nuestra Constitución en donde la protección del Estado debe llegar a todos los ámbitos de la vida de los ciudadanos, no en pro de un sistema intervencionista sino en pro de un sistema garantista.
Félix Bautista
, Senador Provincia San Juan
LEY ORGANICA SOBRE PROTECCION DE DATOS DE CARÁCTER PERSONAL
EL CONGRESO NACIONAL
En Nombre de la República
CONSIDERANDO PRIMERO: Que el derecho a la intimidad y al honor personal es un derecho fundamental establecido en la Constitución
de la República y reconocido por todas las convenciones y tratados internacionales sobre derechos humanos;
CONSIDERANDO SEGUNDO: Que la intimidad comprende el ámbito privado de la vida de una persona vedado para todas las demás que le rodean así como la información, datos y situaciones que en ese ámbito se genere, la cual
debe gozar igualmente de la protección adecuada ante a la injerencia de terceros no autorizados;
CONSIDERANDO TERCERO: Que toda persona tiene, el derecho de decidir sobre la utilización de los datos que sobre ella y sus bienes existan pudiendo acceder a los mismos de manera libre y demandar la actualización, rectificación o destrucción de tales datos cuando no sean acordes a la realidad o resultes lesivos para sus derechos;
CONSIDERANDO CUARTO: Que la Constitución de la República establece en su artículo 44.2 establece que «toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos»;
VISTOS:
La Constitución de la República;
La Declaración Universal de Derechos Humanos, del 10 de diciembre del año 1948;
El Pacto Internacional de Derechos Civiles y Políticos, del 23 de marzo del año 1976, ratificado por República Dominicana mediante Resolución 684, de fecha 27 de octubre de 1977;
La Convención Interamericana de Derechos Humanos, del 22 de noviembre del año 1969, ratificada por República Dominicana mediante Resolución nº 739 del 25 de diciembre del año 1977;
Ley 8-92 que pone bajo la dependencia de la Junta Central Electoral, la Dirección General de la Cédula de Identificación Personal y las Oficinas y Agencias Expedidoras de Cédulas, la Oficina Central del Estado Civil y las Oficialías del Estado Civil, del 18 de marzo del año 1992;
Ley 275-97 Electoral del 21 de diciembre del año 1997;
Ley 19-01 que crea el defensor del Pueblo, del 1 de febrero del año 2001;
Ley 42-01 General de Salud, del 8 de marzo del año 2001;
Ley 76-02 que estable el Código Procesal Penal de la República Dominicana, del 19 de julio del año 2002;
Ley 136-03 que crea el Código para el Sistema de Protección y los derechos Fundamentales de Niños, Niñas y Adolescentes, del 7 de agosto del año 2003;
Ley 200-04 General de Libre Acceso a la Información Pública, del 28 de julio del año 2004;
Ley 288-05 que crea las Sociedades de Intermediación Crediticia y de Protección al Titular de la Información, del 18 de agosto del año 2005;
Ley 176-07 del Distrito Nacional y los Municipios, del 12 de julio del año 2007;
Ley 481-08 General de Archivos de la República Dominicana, del 25 de noviembre del año 2008;
Ha dado la siguiente ley:
CAPÍTULO I.- DISPOSICIONES INICIALES
Sección I.- Del Objeto, Alcance, Ámbito de Aplicación, Restricciones y Principios
Artículo 1. Objeto.
La presente ley tiene por objeto garantizar y proteger el tratamiento y a toda modalidad de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos registrados en cualquier soporte conocido o por conocer sean de titularidad privada o pública.
Artículo 2. Alcance.
La presente ley es de aplicación a los datos de carácter personal registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos en los ámbitos público y privado dentro del territorio dominicano.
Artículo 3. Ámbito de Aplicación.
Esta ley rige todo tratamiento de datos de carácter personal:
1) Cuando el tratamiento sea efectuado en territorio dominicano en el marco de las actividades de un establecimiento del responsable del tratamiento.
2) Cuando al responsable del tratamiento no establecido en territorio dominicano, le sea de aplicación la legislación dominicana en aplicación de normas de Derecho Internacional Público.
3) Cuando el responsable del tratamiento de datos o el usuario de los mismos no esté establecido en territorio dominicano y utilice en el tratamiento de datos por medios situados en territorio dominicano.
4) Los archivos de datos personales regulados por la legislación de régimen electoral.
5) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación dominicana sobre la función estadística pública.
6) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación del personal de las Fuerzas Armadas.
7) Los derivados del Registro Civil y del Sistema de Información Criminal de la Procuraduría General de la república.
8) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, asimismo como las empresas de vigilancia y seguridad privada de conformidad con la legislación sobre la materia. No obstante el responsable de los archivos de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.
Artículo 4. Restricciones.
El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:
1) A los archivos de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
2) A los archivos de datos personales sometidos a la normativa sobre protección de materias clasificadas.
3) A los archivos de datos personales establecidos para la investigación de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del archivo de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.
4) A los archivos de datos personales referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los archivos de datos personales o tratamientos que contengan datos de éste con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
5) A los tratamientos de datos referidos a personas jurídicas, ni a los archivos de datos personales que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Artículo 5. Principios.
Los principios que fundamentan la presente ley son:
1) Licitud de los Archivos de Datos Personales. Los archivos de datos personales no pueden tener finalidades contrarias a las leyes y/o al orden público, siendo debidamente registrados y apegados a los principios establecidos en esta ley y los reglamentos que se dicten en desarrollo de la misma.
2) Calidad de los Datos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado y sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
3) Derecho de Información. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, de la existencia y finalidad del
archivo de datos personales; de la finalidad de la recogida de los datos y del tratamiento, así como de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos, de la negativa a suministrarlos o de la inexactitud de los mismos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
4) Consentimiento del Afectado. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, informado e inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento deberá constar, ya por escrito, ya por otro medio que permita evidenciar el mismo, de acuerdo a las circunstancias y el canal de comunicación y podrá ser revocado cuando exista causa justificada para ello.
5) Seguridad de los Datos. El responsable del archivo de datos personales, y en su caso, el encargado del tratamiento, deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado.
6) Deber de Secreto. El responsable del archivo de datos personales y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo de datos personales o, en su caso, con el responsable del mismo, salvo que sea relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa
nacional o la salud pública.
7) Lealtad. Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos.
8) Finalidad de los datos. Los datos sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.
Sección II
.- Definiciones
Artículo 6. Definiciones.
A los efectos de la presente ley y su aplicación, se asumen los siguientes conceptos:
1) Afectado o Interesado: Persona física titular de los datos que sean objeto del tratamiento, con independencia de su domicilio legal o país de residencia.
2) Archivo de Datos Personales: Conjunto organizado de datos de carácter personal, que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los mismos podrán ser de titularidad privada o de titularidad pública.
3) Archivos de Datos de Titularidad Privada: Son aquellos archivos de datos personales de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los archivos de los que sean responsables las corporaciones de derecho público, en cuanto dichos archivos no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.
4) Archivos de Datos de Titularidad Pública: Son aquellos archivos de datos personales de los que sean responsables los órganos de la administración pública, así como las entidades u organismos vinculados o dependientes de la misma y las entidades autónomas y descentralizadas del Estado siempre que su finalidad sea el ejercicio de potestades de derecho público.
5) Cancelación: Procedimiento en virtud del cual el responsable del tratamiento cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de la administración pública, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
6) Cesión o Comunicación de Datos: Tratamiento de datos que supone su revelación a una persona distinta del afectado o interesado.
7) Consentimiento del Interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.
8) Datos Especialmente Protegidos: Datos de carácter personal que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
9) Datos de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
10) Datos de Carácter Personal Relacionados con la Salud: Cualquier información concerniente a la salud pasada, presente y futura, física o mental, de un individuo.
11) Destinatario o Cesionario: Persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
12) Encargado del Tratamiento: La persona física o jurídica, privada o pública, que realice el tratamiento de los datos personales por cuenta del responsable del tratamiento.
13) Exportador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo situado en territorio dominicano que realice, conforme a lo dispuesto en esta Ley, una transferencia de datos de carácter personal a un país tercero.
14) Fuentes Accesibles al Público: Aquellos archivos de datos personales cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
15) Importador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
16) Persona Identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
17) Procedimiento de Disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
18) Responsable del Tratamiento: Toda persona, privada o pública, titular del archivo de datos personales que decide la finalidad, el contenido, los medios del tratamiento y el uso de la información obtenida con el tratamiento de los datos personales.
19) Tercero: Persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
20) Transferencia Internacional de Datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la República Dominicana, sin importar el soporte, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del archivo de datos personales establecido en territorio dominicano.
21) Tratamiento de Datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, extracción, grabación, ordenación, conservación, elaboración, almacenamiento, modificación, vinculación, evaluación, consulta, utilización, bloqueo, cancelación o supresión y, en general el procesamiento de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
22) Salario Mínimo: será el salario mínimo nacional más bajo percibido por los trabajadores del sector privado no sectorizado de empresas industriales, comerciales y de servicios, fijado por el Comité Nacional de Salarios del Ministerio de Estado de Trabajo de la República Dominicana.
CAPÍTULO II
.- DISPOSICIONES GENERALES
Sección I.- De los Derechos de las Personas y su Ejercicio
Artículo 7. Impugnación de Valoraciones.
Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
Párrafo I. En caso de que suceda, el afectado tendrá derecho a obtener información del responsable del archivo de datos personales sobre el programa y los criterios de valoración utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
Párrafo II. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.
Artículo 8. Nulidad.
Los actos que resulten contrarios a lo dispuesto en el artículo precedente serán nulos de pleno derecho.
Artículo 9. Derecho de consulta al Registro General de Protección de Datos.
Cualquier persona puede conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal sobre su persona, sus finalidades y la identidad del responsable del tratamiento. El Registro General es de consulta pública y gratuita.
Artículo 10. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Los derechos de acceso, rectificación, cancelación y oposición son personales y son ejercidos por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.
Párrafo I. Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, pueden ser ejercidos por su representante legal, en cuyo caso es necesario que acredite tal condición mediante la aportación de copia de su Cedula de Identidad y Electoral o pasaporte en caso de extranjeros, y la representación conferida por aquél.
Párrafo II. Cuando el responsable del archivo de datos personales sea un órgano de la administración pública o de la administración de justicia, puedeacreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.
Artículo 11. Independencia de los derechos de acceso, rectificación, cancelación y oposición.
Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes. No puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.
Articulo 12. Derecho de Acceso.
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal, obrantes tanto en los archivos de datos personales públicos, como privados, sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
Párrafo. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido a intervalos no inferiores a tres (3) meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercerlo antes.
Artículo 13. Procedimientos de acceso.
La información mencionada en el artículo anterior puede obtenerse mediante los siguientes procedimientos a elección del Interesado:
1) La consulta de los datos por medio de su visualización; o,
2) La indicación de los Datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
Párrafo. La información debe ser suministrada en forma clara, amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales; exentos de codificaciones y en su caso acompañado de una explicación; en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.
Artículo 14. Plazo.
El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de acceso del Interesado en un plazo máximo de diez (10) días laborables a contar desde la recepción de la solicitud de acceso del Interesado. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.
Artículo 15. Derechos de rectificación y cancelación.
Los Interesados tienen derecho a que sean rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos, debiendo en tal caso ser cancelados y sustituidos de oficio por el responsable del archivo de datos personales, por los correspondientes datos rectificados o completados, sin perjuicio de las facultades reconocidas a los afectados.
Párrafo. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del archivo de datos debe bloquear el archivo o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
Artículo 16. Cancelación.
Los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Párrafo I. Reglamentariamente se determina el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Párrafo II. No pueden ser conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Artículo 17. Bloqueo de datos.
La cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de los Poderes del Estado, de la Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. En todo caso, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
Artículo 18. Notificación de rectificación o cancelación.
Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que debe también proceder a la rectificación y cancelación siendo en todo caso el responsable del tratamiento responsable ante la Agencia Dominicana de Protección de Datos y los interesados en caso de que el cesionario no cancele dichos datos de carácter personal, sin perjuicio de las responsabilidades que el responsable del tratamiento pueda repetir en tal cesionario, en su caso.
Artículo 19. Plazo.
El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de rectificación o cancelación del Interesado en el plazo de diez (10) días laborables a contar desde la recepción de la solicitud de rectificación y/o cancelación del Interesado.
Artículo 20. Cancelación.
La cancelación por el Interesado de sus datos de carácter personal no será de aplicación respecto del tratamiento de dichos por el responsable del tratamiento a los exclusivos efectos de ejercer aquellas acciones que en derecho procediesen frente al Interesado o, en su caso, de defenderse ante las acciones ejercitadas por el Interesado. Dichos datos de carácter personal no pueden ser tratados por el responsable del tratamiento más que con la finalidad aquí señalada, siendo eficaz la cancelación respecto a cualquier tratamiento distinto del aquí expresamente mencionado.
Párrafo. El incumplimiento de esta obligación dentro del término referido en este artículo, habilitará al interesado para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.
Artículo 21. Derecho de oposición.
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
1) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.
2) Cuando se trate de archivos de datos personales que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en esta Ley, cualquiera que sea la empresa responsable de su creación.
3) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta, salvo que esté previsto en una Ley, o resulte del marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés.
En tales supuestos, el responsable del archivo de datos personales debe excluir del tratamiento los datos relativos al afectado.
Artículo 22. Ejercicio.
El derecho de oposición se ejerce mediante solicitud dirigida al responsable del tratamiento y el responsable del archivo de datos personales o tratamiento debe excluir del tratamiento los datos relativos al afectado que ejerza su derecho de oposición o denegar motivadamente la solicitud del interesado.
Párrafo. Cuando la oposición se realice con base en el numeral 1 del artículo anterior, en la solicitud deben hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.
Artículo 23. Procedimiento de oposición, acceso, rectificación o cancelación.
Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán claramente establecidos y ampliados reglamentariamente.
Párrafo. La oposición, acceso, rectificación, actualización o cancelación de datos personales inexactos o incompletos que obren en registros públicos o privados debe efectuarse sin cargo alguno para el interesado.
Artículo 24. Tutela de los derechos.
Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Dominicana de Protección de Datos, en la forma que reglamentariamente se determine.
Párrafo. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos la cual debe asegurarse de la procedencia o improcedencia de la denegación.
Artículo 25. Plazo.
El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de tres meses.
Párrafo. Contra las resoluciones de la Agencia Dominicana de Protección de Datos procederá recurso ante el Tribunal Contencioso Tributario y Administrativo.
Artículo 26. Derecho a indemnización.
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tienen derecho a ser indemnizados.
Párrafo I. Cuando se trate de archivos de datos personales de titularidad pública, la responsabilidad se exigirá de acuerdo con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).
Párrafo II. En el caso de los archivos de datos personales de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
Artículo 27. Acción de Hábeas Data.
Sin perjuicio de los mecanismos establecidos para el ejercicio de los derechos de los interesados, éstos podrán ejercer la acción judicial de Hábeas Data de conformidad con lo establecido en la legislación vigente al respecto.
Sección II.- Excepciones a los Derechos de los Afectados
Artículo 28. Excepciones a los derechos de acceso, rectificación cancelación y oposición.
Los responsables de los archivos de datos personales que contengan los datos sobre ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia pueden denegar el acceso, la rectificación, cancelación u oposición en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
Párrafo I. Los responsables de los archivos de datos personales de la Secretaria de Estado de Hacienda pueden, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
Párrafo II. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en el presente artículo puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos, la cual debe asegurarse de la procedencia o improcedencia de la denegación.
Artículo 29. Excepciones al requerimiento de consentimiento.
No es preciso el consentimiento cuando los datos de carácter personal se recojan:
1) Para el ejercicio de las funciones propias de los poderes del Estado o de las Administraciones Públicas en el ámbito de sus competencias, o en virtud de una obligación legal.
2) Cuando se refieran a las partes de un contrato o precontrato de una relación comercial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
3) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 8 apartado 6 de la presente Ley.
4) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del archivo de datos personales o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de archivos de datos personales de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
5) Cuando, en el caso de residentes en la República Dominicana, se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria, ocupación, fecha de nacimiento y domicilio.
Párrafo. Si el responsable del tratamiento solicita el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, debe permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
Artículo 30. Otras excepciones a los derechos de los afectados.
Lo dispuesto en la presente Ley sobre Orgánica Protección de Datos de Carácter Personal a los interesados no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de la Administración Pública o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.
Sección III.- Comunicación de Datos
Artículo 31. Comunicación de datos.
Los datos de carácter personal objeto del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
Párrafo. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley y de sus reglamentos de aplicación. El cesionario de los datos responderá solidaria y conjuntamente con el cedente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
Artículo 32. Consentimiento.
El consentimiento exigido en el artículo anterior no es preciso:
1) Cuando la cesión está autorizada en una Ley.
2) Cuando se trate de datos recogidos de fuentes accesibles al público.
3) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de datos personales de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
4) Cuando la comunicación que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias, así como al de los Jueces o Tribunales u otros órganos de la Administración de Justicia en el ejercicio de las funciones.
5) Cuando la cesión se produzca entre entidades de la Administración Pública y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
6) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo de datos personales o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre salud y, en este caso, se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.
7) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
Artículo 33. Nulidad del Consentimiento.
Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
Párrafo. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
Artículo 34. Acceso a los datos por cuenta de terceros.
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Artículo 35. Contrato.
El tratamiento que realice el encargado por cuenta del responsable del tratamiento según lo previsto en el artículo anterior deberá constar en un contrato suscrito entre dicho encargado y el responsable, que cumpla con las siguientes características:
1) Esté formalizado por escrito y contenga las firmas de todas las partes o sus representantes autorizados;
2) Especifique de forma precisa las características de los servicios a realizar por el encargado del tratamiento, en particular, aquellos que se refieran al tratamiento de los datos de carácter personal por cuenta del responsable del tratamiento;
3) Establezca que el encargado del tratamiento sólo tratará los datos de carácter personal de acuerdo con las instrucciones del responsable del tratamiento contenidas en el contrato;
4) Reconozca la responsabilidad del responsable del tratamiento ante los interesados y la Agencia Dominicana de Protección de Datos;
5) Regule que, salvo en el caso que se prevé en la letra (h) de este apartado, el encargado del tratamiento no revelará ni divulgará los datos de carácter personal por ningún motivo distinto del cumplimiento de las instrucciones del responsable del tratamiento mencionadas en la letra (c) de este apartado;
6) Regule que el encargado del tratamiento no llevará a cabo ningún tipo de tratamiento de los datos de carácter personal que no se encuentre expresamente prevista en el contrato;
7) Regule las medidas de seguridad que deberá aplicar el encargado del tratamiento exigidas para el responsable del tratamiento de acuerdo con lo dispuesto en esta Ley; y
8) Prevea que en caso de que el encargado del tratamiento tenga que dar acceso a terceros subcontratistas a los datos de carácter personal, será preciso que dicho acceso se regule en un contrato que cumpla los requisitos previstos en este artículo; en ningún caso, permita realizar un tratamiento de los datos de carácter personal en condiciones menos restrictivas que las previstas en el contrato principal suscrito entre el responsable del tratamiento y el encargado del tratamiento; no otorgue a los subcontratistas mayores prerrogativas que las previstas en dicho contrato; deberá ser revisado y aprobado por el responsable del tratamiento de forma previa a su firma por el encargado del tratamiento.
Párrafo. Una vez cumplida la prestación contractual, los datos de carácter personal deben ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
Artículo 36. Responsabilidad.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
CAPÍTULO III.- DISPOSICIONES ORGANICAS
Sección I.- De la Agencia Dominicana de Protección de Datos
Artículo 37. Naturaleza.
La Agencia Dominicana de Protección de Datos es una institución autónoma y descentralizada con personalidad jurídica, autonomía administrativa, financiera y técnica, rectora de las políticas en materia de protección de datos de carácter personal, que actúa con independencia de la Administración Pública en el ejercicio de sus funciones.
Párrafo. La Agencia Dominicana de Protección de Datos está adscrita al Ministerio de la Presidencia, y bajo la vigilancia del ministro/a de la presidencia.
Artículo 38. Régimen jurídico.
La Agencia Dominicana de Protección de Datos se rige por lo dispuesto en la presente Ley, y en el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus reglamentos, actúa de conformidad con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008) y sus modificaciones. En sus adquisiciones patrimoniales y contratación estará sujeta a la ley 340-06 de Compras y Contrataciones de Bienes, Servicios, Obras y Concesiones del dieciocho (18) de agosto del año dos mil seis (2006), y sus modificaciones y reglamentos.
Artículo 39. Funciones.
Son funciones de la Agencia Dominicana de Protección de Datos:
1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
3) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones y resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.
4) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
5) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
6) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos de datos personales, cuando no se ajuste a sus disposiciones.
7) Ejercer la potestad sancionadora referida en la presente Ley.
8) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
9) Recabar de los responsables de los archivos de datos personales cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
10)Velar por la publicidad de la existencia de los archivos de datos personales, a cuyo efecto publicará periódicamente una relación de dichos archivos, con la información adicional que el Director de la Agencia determine.
11)Redactar y publicar una memoria anual.
12)Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
13)Velar por el cumplimiento de las disposiciones que la Legislación Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los archivos de datos personales constituidos con fines exclusivamente estadísticos.
14)Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Párrafo I. Las instrucciones y resoluciones de la Agencia Dominicana de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.
Párrafo II. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un archivo de datos personales o su tratamiento en el Registro General de Protección de Datos, ni a aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo.
Artículo 40. Potestad de Inspección.
La Agencia Dominicana de Protección de Datos puede inspeccionar los archivos de datos personales a que hace referencia la presente Ley, recabando cuantas informaciones precise para el cumplimiento de sus cometidos. Puede solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.
Párrafo. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tienen la consideración de autoridad pública en el desempeño de sus cometidos, y estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.
Artículo 41. Director de la Agencia Dominicana de Protección de Datos.
El Director de la Agencia Dominicana de Protección de Datos dirige la Agencia y ostenta su representación. Es designado por el Presidente de la República por un período de cuatro años, ejerciendo sus funciones con plena independencia y objetividad, y no está sujeto a instrucción alguna en el desempeño de aquéllas.
Párrafo. El Director contará con la asistencia de un Consejo Consultivo.
Artículo 42. Cese de Funciones.
El Director de la Agencia Dominicana de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el artículo anterior a petición propia, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por causa afectiva o infamante.
Artículo 43. Incompatibilidades.
El Director de la Agencia Dominicana de Protección de Datos no puede ejercer ningún otro cargo, exceptuando el magisterio, y está sujeto a las demás incompatibilidades fijadas por la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).
Artículo 44. Consejo Consultivo.
El Director de la Agencia Dominicana de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
1) Un representante de la Administración del Estado, designado por el Gobierno.
2) Dos expertos en la materia, propuesto por las Universidades del modo que se prevea reglamentariamente.
3) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.
4) Un representante del sector de archivos de datos personales privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.
Párrafo. El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.
Artículo 45. Personal.
Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos son desempeñados por funcionarios de la Administración Pública y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.
Párrafo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
Artículo 46. Financiación y Presupuesto.
La Agencia Dominicana de Protección de Datos cuenta, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:
1) Las asignaciones que se establezcan anualmente en la Ley de Presupuesto General del Estado.
2) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
3) Cualesquiera otros que legalmente puedan serle atribuidos.
CAPÍTULO IV.- DISPOSICIONES PROCEDIMENTALES
Sección I.- De la Inscripción en el Registro General de Protección de Datos
Artículo 47. Creación.
Se crea el Registro General de Protección de Datos, como base de datos consolidada para los datos de carácter personal tanto de titularidad pública como de titularidad privada que cumplan con las condiciones establecidas en esta Ley.
Párrafo. El Registro General de Protección de Datos es manejado por la Agencia Dominicana de Protección de Datos.
Artículo 48. Inscripción.
Por vía reglamentaria se regulará el procedimiento de inscripción de los archivos de datos personales, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás supuestos pertinentes; comprendiendo como mínimo la siguiente información:
1) Nombre y domicilio del responsable.
2) Características y finalidad del archivo.
3) Naturaleza de los datos personales contenidos en cada archivo.
4) Forma de recolección y actualización de datos.
5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos.
6) Modo de interrelacionar la información registrada.
7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información.
8) Tiempo de conservación de los datos.
9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.
Párrafo. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.
Artículo 49. Documento de seguridad.
El responsable del archivo de datos personales o del tratamiento debe elaborar un documento de seguridad que se regulará reglamentariamente y en el que recogen las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que serán de cumplimiento obligatorio para el personal con acceso a los sistemas de información.
Párrafo. El documento de seguridad puede ser único y contentivo de todos los archivos de datos personales o tratamientos, o bien individualizado para cada archivo de datos personales o tratamiento. También pueden elaborarse distintos documentos de seguridad agrupando archivos de datos personales o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable, distinguiendo las singularidades propias de los archivos de datos personales y tratamientos automatizados y no automatizados. En todo caso, tiene el carácter de documento interno de la organización.
Sección II.- De los Ficheros de Titularidad Pública
Artículo 50. Creación, modificación o supresión.
La creación, modificación o supresión de los archivos de datos personales de la Administración Pública sólo puede hacerse por medio de disposición general publicada en un diario de circulación nacional.
Párrafo I. Las disposiciones de creación o de modificación de archivos de datos personales deberán indicar:
1) La finalidad del archivo de datos personales y los usos previstos para el mismo.
2) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal y el carácter facultativo u obligatorio de su suministro por parte de aquellas.
3) El procedimiento de recogida y actualización de los datos de carácter personal.
4) La estructura básica del archivo de datos personales, automatizado o no, y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
5) Las cesiones de datos de carácter personal y, en su caso, las transferencias e interconexiones de datos que se prevean a países terceros.
6) Los órganos de la Administración responsables del archivo de datos personales, precisando la dependencia jerárquica, en su caso.
7) Los servicios o unidades ante los que pudiesen ejercerse los derechos de acceso, rectificación, cancelación y oposición.
8) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
Párrafo II. Las disposiciones que se dicten para la supresión de los archivos de datos personales deberán establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.
Artículo 51. Comunicación de datos entre Instituciones de la Administración Pública.
Los datos de carácter personal recogidos o elaborados por la Administración Pública para el desempeño de sus atribuciones no pueden ser comunicados a otras Instituciones de la Administración Pública para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Institución Pública obtenga o elabore con destino a otra. En estos casos no será necesario el consentimiento del afectado a que se refiere la presente Ley.
Párrafo I. No obstante lo establecido en la presente Ley, la comunicación de datos entre instituciones de la administración pública recogidos de fuentes accesibles al público no puede efectuarse a archivos de datos personales de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.
Párrafo II. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que debe efectuar a la Administración Tributaria en el ejercicio de sus competencias, conforme a lo dispuesto en su normativa reguladora, no requerirá el consentimiento del afectado.
Sección III.- De los Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia
Artículo 52. Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia.
Los archivos de datos personales creados por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, están sujetos al régimen general de la presente Ley.
Párrafo I. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos en atención a la prevención de un peligro real, debiendo ser almacenados en archivos de datos personales específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
Párrafo II. La recogida y tratamiento por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia de los datos especialmente protegidos a que hace referencia la presente Ley, pueden realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
Artículo 53. Cancelación.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
Párrafo. Debe considerarse especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.
Sección IV.- De los Ficheros de Titularidad Privada
Artículo 54. Creación de archivos de datos personales de titularidad privada.
Pueden crearse archivos de datos personales de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Los archivos de datos personales de titularidad privada que contengan datos de carácter personal deberán notificarse y registrarse conforme lo previsto en la presente Ley.
Párrafo I. No se registran datos de carácter personal en archivos de datos personales que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
Párrafo II. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los archivos de datos personales y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 8 de esta Ley.
Artículo 55. Notificación.
Toda persona o entidad que proceda a la creación de archivos de datos personales lo notificará previamente a la Agencia Dominicana de Protección de Datos.
Párrafo. Deberán comunicarse a la Agencia Dominicana de Protección de Datos los cambios que se produzcan en la finalidad del archivo de datos personales automatizado, en su responsable y en la dirección de su ubicación.
Artículo 56. Inscripción.
Toda persona o entidad que proceda a la creación de archivos de datos personales debe hacer la correspondiente inscripción del mismo en el Registro General de Protección de Datos, que inscribirá el archivo de datos personales si la notificación se ajusta a los requisitos exigibles. En caso contrario puede pedir que se completen los datos que falten o se proceda a su subsanación.
Párrafo I. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Dominicana de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos personales automatizado a todos los efectos.
Párrafo II. Por vía reglamentaria se procederá a la regulación detallada de los distintos supuestos que debe contener la notificación de la información necesaria para cumplir con las previsiones sobre la información que debe contener el registro, así como información sobre su ubicación, el tipo de datosde carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
Artículo 57. Prestación de servicios automatizados de datos de carácter personal.
Cuando por cuenta de terceros se presten servicios de tratamiento de datos de carácter personal, éstos no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.
Párrafo. Una vez cumplida la prestación contractual, y los supuestos legalmente previstos, dejando a salvo la posible puesta a disposición de las Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades, los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.
Artículo 58. Comunicación de la cesión de datos.
El responsable del archivo de datos personales, en el momento en que se efectúe cualquier cesión de datos, debe informar de ello a los afectados, indicando, asimismo, la finalidad del archivo de datos personales, la naturaleza de los datos que han sido cedidos, el nombre y dirección del cesionario.
Párrafo I. En los supuestos en que se produzca una modificación del responsable del archivo de datos personales como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de comunicar al o los interesados de esta situación.
Párrafo II. La obligación establecida en el párrafo anterior no existirá cuando la cesión venga impuesta por Ley.
Artículo 59. Datos incluidos en las fuentes de acceso público.
Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.
Párrafo. Los interesados tienen derecho a que la entidad responsable del mantenimiento de los listados de los Colegios Profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, así como el derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.
Artículo 60. Plazo.
La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia debe realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.
Artículo 61. Fuentes de acceso público.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico o en formato electrónico pierden el carácter de fuente accesible con la nueva edición que se publique.
Artículo 62. Guías de servicios de telecomunicaciones.
Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica.
Artículo 63. Prestación de servicios de información sobre solvencia patrimonial y crédito.
Los servicios de información sobre la solvencia patrimonial y el crédito que se presten exclusivamente en el ámbito de la República Dominicana, o en los que no exista tratamiento de datos resultado de transferencias de datos a la República Dominicana desde países terceros, se rigen por esta la Ley.
Párrafo I. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito en el ámbito de la República Dominicana y en caso de transferencias de datos a la República Dominicana desde países terceros, sólo pueden tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
Párrafo II. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones pecuniarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en archivos, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.
Párrafo III. Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.
Artículo 64. Naturaleza de los datos.
Sólo se pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos. El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.
Párrafo. En los restantes supuestos, los datos deben ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
Artículo 65. Información.
El acreedor debe informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos legales, los datos relativos al impago podrán ser comunicados a archivos de datos personales relativos al cumplimiento o incumplimiento de obligaciones pecuniarias.
Artículo 66. Derechos de acceso, rectificación o Cancelación.
Cuando el interesado ejerza su derecho de acceso en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia, se tendrán en cuenta las siguientes reglas:
1) Si la solicitud se dirigiera al titular del archivo de datos personales común o Buró de Información Crediticia, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el archivo. En este caso, el titular del archivo de datos personales común o Buró de Información Crediticia deberá, además de dar cumplimiento a lo establecido en la legislación aplicable, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses, el nombre y dirección de los cesionarios.
2) Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, ésta deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para que pueda completar el ejercicio de su derecho de acceso.
Párrafo. Cuando el interesado ejerza sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia se tendrán en cuenta las siguientes reglas:
1) Si la solicitud se dirige al titular del archivo de datos personales común o Buró de Información Crediticia, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del archivo de datos personales común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.
2) Si la solicitud se dirige a quien haya facilitado los datos al archivo de datos personales común o Buró de Información Crediticia procederá a la rectificación o cancelación de los mismos en sus archivos y a notificarlo al titular del archivo de datos personales común en el plazo de cinco días laborables, dando asimismo respuesta al interesado.
3) Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al archivo de datos personales común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de cinco días laborables, proporcionándole, además, la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para, que en su caso, puedan ejercer sus derechos ante el mismo.
Artículo 67. Archivos de datos personales comunes que contengan datos de carácter personal establecidos por las entidades aseguradoras.
Las entidades aseguradoras pueden establecer archivos de datos personales comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados archivos de datos personales no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales en archivos comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercer los derechos de acceso, rectificación y cancelación previstos en la Ley.
Párrafo. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.
Artículo 68. Tratamientos con fines de publicidad y de prospección comercial.
Queda expresamente prohibida la remisión, directa o indirectamente, de publicidad cuya recepción no haya sido solicitada o consentida expresamente por el interesado receptor de la misma.
Párrafo I. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas sólo pueden utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público, o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.
Párrafo II. Cuando los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al interesado debe ser informado del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. Dicha comunicación debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
Párrafo III. Los interesados tienen derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad pueden conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.
Artículo 69. Archivos de datos personales relativos a las encuestas.
Las normas de la presente ley no se aplican a las encuestas de opinión, mediciones y estadísticas relevantes, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.
Párrafo. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.
Artículo 70. Códigos tipo.
Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.
Párrafo I. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación, y en el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.
Párrafo II. Los códigos tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Dominicana de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.
Artículo 71. Códigos de conducta.
Las asociaciones o entidades representativas de responsables o usuarios de archivos de datos personales de titularidad privada pueden elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personalesque tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.
Párrafo. Dichos códigos deben ser inscritos en el Registro General de Protección de que lleva la Agencia Dominicana de Protección de Datos, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.
Sección V.- Otros Datos
Sub-Sección I.- Datos Especialmente Protegidos
Artículo 72. Datos especialmente protegidos.
Ninguna persona puede ser obligada a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se debe advertir al interesado acerca de su derecho a no prestarlo.
Párrafo I. Quedan prohibidos los archivos de datos personales creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Artículo 73. Consentimiento.
Sólo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento los datos de carácter personal que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Párrafo. Se exceptúan los archivos de datos personales mantenidos por los partidos políticos, sindicatos, iglesias o comunidades religiosas y asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Artículo 74. Excepción.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, o cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Artículo 75. Datos de infracciones penales.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de datos personales de la Administración Pública competente en los supuestos previstos en las normas reguladoras.
Sub-Sección II.- Datos Relativos a la Salud
Artículo 76. Datos relativos a la salud.
Sin perjuicio de lo establecido en la presente ley respecto de la cesión de datos, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes pueden proceder al tratamiento de los datos de carácter personal relativos a la salud física o mental de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación dominicana sobre salud.
Párrafo. No obstante lo dispuesto sobre datos especialmente protegidos, pueden ser objeto de tratamiento los datos de carácter personal que se refieren al origen racial, a la salud y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
Sub-Sección III.- Tratamiento de Datos de Menores de Edad
Artículo 77. Tratamiento de datos de menores de edad.
Puede procederse al tratamiento de los datos de los mayores de dieciséis (16) años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de dieciséis (16) años se requerirá el consentimiento de los padres o tutores.
Párrafo I. En ningún caso puede recabarse del menor de edad datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
Párrafo II. Cuando el tratamiento se refiera a datos de menores de dieciséis (16) años de edad, la información dirigida a los mismos debe expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
Párrafo III. Corresponde al responsable del archivo de datos personales o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.
Sección VI.- Movimiento Internacional de Datos
Artículo 78. Representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la República Dominicana y utilice en el tratamiento de datos medios situados en territorio dominicano, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en la República Dominicana, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Párrafo I. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
Párrafo II. Reglamentariamente se establecerán los casos en los que por utilizarse medios para el tratamiento de datos situados en la República Dominicana y utilizarse los mismos únicamente con fines de tránsito, el responsable del tratamiento no establecido en territorio de la República podrá ser eximido de designar un representante en la misma.
Artículo 79. Norma general.
No pueden realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países, u organismos internacionales o supranacionales, que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa de la Agencia Dominicana de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En todo caso, la transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley y deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos.
Párrafo I. El carácter adecuado del nivel de protección que ofrece el país de destino es evaluado por la Agencia Dominicana de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.
Párrafo II. La Agencia Dominicana de Protección de Datos acordará la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable conforme a lo dispuesto en el apartado anterior y mantendrá actualizado dicho listado a través de medios informáticos o telemáticos.
Artículo 80. Autorización.
Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado o no se haya considerado por la Agencia Dominicana de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización de la Agencia Dominicana de Protección de Datos.
Párrafo. La autorización podrá ser otorgada en caso de que el responsable del archivo de datos personales o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías establecidas en la presente ley y sus reglamentos.
Artículo 81. Suspensión temporal de transferencia de datos.
La Agencia Dominicana de Protección de Datos puede acordar, previa audiencia con el exportador, la suspensión temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes:
1) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.
2) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Dominicana de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.
Artículo 82. Excepciones.
Lo dispuesto en los artículos anteriores no será de aplicación:
1) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte la República Dominicana.
2) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
3) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.
4) Cuando se refiera a transferencias pecuniarias conforme a su legislación específica.
5) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
6) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del archivo de datos personales o para la adopción de medidas precontractuales adoptadas a petición del afectado.
7) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del archivo de datos personales y un tercero.
8) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración Fiscal o Aduanera para el cumplimiento de sus competencias.
9) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
10) Cuando la transferencia se efectúe, a petición de una persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
11) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
CAPÍTULO V.- DISPOSICIONES DE INFRACCIONES Y SANCIONES
Artículo 83. Responsables.
La Agencia Dominicana de Protección de Datos puede aplicar el régimen sancionador administrativo establecido en la presente Ley a los responsables de los archivos de datos personales y, en general, a los encargados de los tratamientos, sin perjuicio de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.
Artículo 84. Tipos de infracciones y sus sanciones.
Las infracciones se califican de la siguiente manera y tendrán las sanciones siguientes:
1) Sanciones leves, cuya comisión será sancionada con multa de uno (1) a veinte (20) salarios mínimos.
2) Sanciones graves, cuya comisión será sancionada con multa de veinte (20) a cuarenta (40) salarios mínimos.
3) Sanciones muy graves, cuya comisión será sancionada con multa de cuarenta (40) a sesenta (60) salarios mínimos.
Párrafo I. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Párrafo II. Si en razón de las circunstancias concurrentes, se aprecia una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, la Agencia Dominicana de Protección de Datos establecerá lacuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
Párrafo III. En ningún caso podrá imponerse una sanción más grave que la fijada en ésta Ley para la clase de infracción en la que se constituya la que se pretenda sancionar.
Artículo 85. Infracciones leves.
Son infracciones leves:
1) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
2) No proporcionar la información que solicite la Agencia Dominicana de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
3) No solicitar la inscripción del archivo de datos personales en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
4) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles las informaciones que señala la presente Ley.
5) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.
Artículo 86. Infracciones graves.
Son infracciones graves:
1) Proceder a la creación de archivos de datos personales de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada de acuerdo a lo establecido en la presente Ley.
2) Proceder a la creación de archivos de datos personales de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
3) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
4) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
5) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
6) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
7) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a los archivos de datos personales que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros archivos de datos personales que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
8) Mantener los archivos de datos personales, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
9) No remitir a la Agencia Dominicana de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
10) La obstrucción al ejercicio de la función inspectora.
11)No inscribir los archivos de datos personales en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Dominicana de Protección de Datos.
12) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Artículo 87. Infracciones muy graves.
Son infracciones muy graves:
1) La recogida de datos en forma engañosa y fraudulenta.
2) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
3) Recabar y tratar los datos de carácter personal especialmente protegidos a los que se refiere esta Ley cuando no medie el consentimiento expreso del afectado, cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición de crear archivos de datos personales con la finalidad exclusiva de almacenar datos de carácter personal especialmente protegidos.
4) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Dominicana de Protección de Datos o por las personas titulares del derecho de acceso.
5) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Dominicana de Protección de Datos.
6) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
7) La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hace referencia la presente Ley, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
8) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
9) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo de datos personales.
10) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando la Agencia Dominicana de Protección de Datos lo ordene.
Artículo 88. Infracciones de la Administración Pública.
Cuando las infracciones a que se refiere el presente Capítulo fuesen cometidas en archivos de datos personales de los que sean responsabilidad de la Administración Pública, el Director de la Agencia Dominicana de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo de datos personales, al órgano del quedependa jerárquicamente y a los afectados si los hubiera.
Párrafo I. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de la ley 41-08 de Función Pública.
Párrafo II. Se deben comunicar a la Agencia Dominicana de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el presente artículo.
Artículo 89. Plazos de prescripción.
Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año, comenzando a contarse dichos plazos desde el día en que el titular de la información tiene conocimiento de la vulneración.
Párrafo. Interrumpe la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Artículo 90. Procedimiento sancionador.
Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título.
Los procedimientos sancionadores tramitados por la Agencia Dominicana de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes tendrán una duración máxima de seis meses.
Párrafo. Las resoluciones de la Agencia Dominicana de Protección de Datos dictadas en ocasión de un proceso sancionador agotan la vía administrativa.
Artículo 91. Potestad de inmovilización de archivos de datos personales.
En los supuestos constitutivos de infracción muy graves, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que las leyes garantizan, el Director de la Agencia Dominicana de Protección de Datos puede, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos personales, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Dominicana de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.
CAPÍTULO VI.- DISPOSICIONES TRANSITORIAS, MODIFICATORIAS Y FINALES
Sección I.- Disposiciones Transitorias
Artículo 92. Tratamientos creados por Convenios Internacionales.
La Agencia Dominicana de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte la República Dominicana que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio.
Sección II.- Disposiciones Modificatorias
Artículo 93.
Se modifica el artículo 19, parte in fine, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
«Artículo 19.- Los consumidores tendrán derecho a solicitar de los BICs sus reportes de crédito, a través de las unidades especializadas de los BICs. Dichas unidades estarán obligadas a tramitar las solicitudes presentadas por los consumidores de manera gratuita.»
Artículo. 94.
Se modifica el párrafo I del artículo 19, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
«Párrafo I.- El BIC deberá presentar el reporte de crédito solicitado en forma clara, completa y accesible, de tal manera que se explique por sí mismo, y deberá ponerlo a disposición del consumidor en un plazo no mayor de diez (10) días hábiles, contados a partir de la fecha en que BIC hubiera recibido la solicitud correspondiente.»
Artículo. 95.
Se modifica el artículo 22 de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
«Artículo 22.- Si las unidades especializadas de las Entidades de Intermediación Financiera, o en el caso de Agentes Económicos, de quienes designen como responsables para esos efectos, no hacen llegar al BIC su respuesta a la reclamación presentada por el cliente o consumidor dentro de un plazo de siete (7) días hábiles, contados a partir de que hayan recibido la notificación de la reclamación, el BIC deberá modificar o eliminar de su base de datos la información que conste en el registro de que se trate, según le haya solicitado el cliente o consumidor, así como la leyenda: «Registro Impugnado».
Sección III.- Disposiciones Finales
Artículo 96. Archivos de datos personales y Registro de Población de la Administración Pública.
La Administración Pública puede solicitar a la Junta Central Electoral, sin consentimiento del interesado, una copia actualizada del archivo de datos personales formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en las oficialías de Estado Civil y los padrones electorales correspondientes para la creación de archivos de datos personales o registros de población, teniendo siempre estos archivos o registros como finalidad la comunicación de los distintos órganos de la administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas de la Administración Pública.
Artículo 97.
Los archivos de datos personales de los prestadores de servicios de información crediticia deberán suprimir, o en su caso, omitir asentar, todo dato referido al incumplimiento o mora en el pago de una obligación, si ésta hubiere sido cancelada al momento de la entrada en vigencia de la presente ley.
Artículo 98. Archivos de datos personales preexistentes.
Los archivos de datos personales y tratamientos automatizados, tanto los no inscritos, como los inscritos desde la entrada en vigor de la Ley, en el Registro General de Protección de Datos deberán adecuarse y cumplir con la presente Ley dentro del plazo de dos años, a contar desde su entrada en vigor. En dicho plazo, los archivos de datos personales de titularidad privada deberán ser comunicados a la Agencia Dominicana de Protección de Datos y los archivos de datos personales de titularidad pública, deberán aprobar la pertinente disposición de regulación del archivo de datos personales o adaptar la existente.
Párrafo I. En el supuesto de archivos de datos personales y tratamientos no automatizados, su adecuación a la presente Ley y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de tres años a contar desde la entrada en vigencia de la presente Ley, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.
Párrafo II. En caso de transferencias de datos a la República Dominicana desde países terceros, los responsables o encargados del archivo de datos personales o su tratamiento deberán adecuarse y cumplir con la presente Ley dentro del plazo de un año a contar desde su entrada en vigor.
Artículo 99. Reglamentación.
La Agencia Dominicana de Protección de Datos elaborará el reglamento necesario para la aplicación y desarrollo de la presente ley y el Poder Ejecutivo lo dictará dentro de los noventa (90) días después de su entrada en vigencia.
Artículo 100. Entrada en vigencia.
La presente Ley entra en vigencia después de su promulgación y publicación conforme a la Constitución de la República y transcurridos los plazos fijados en el Código Civil Dominicano.
Félix Bautista
, Senador Provincia San Juan
Debido al uso masivo de redes sociales como Facebook, o Twitter, así como las recientes noticias sobre instalación de programas espía en terminales móviles, la Comisión Europea está valorando la aprobación de una nueva directiva en materia de protección de datos como respuesta a la aplicación de la «Patriot Act».
Con motivo de los atentados del 11-S en 2001, el gobierno de Estados Unidos determinó la promulgación de una polémica ley, denominada «Patriot Act» (Ley Patriótica). El principal cometido de esta Ley, de fecha 26 de octubre de 2001, era perseguir el contenido de las comunicaciones de datos realizadas en el marco de las relaciones internacionales para con dicho país. El carácter polémico de la misma radica no en el fin último de su creación, sino en la manera o el modo de proceder para obtener dicha información (envío generalizado de información al gobierno americano sin previo aviso y, por tanto, sin consentimiento de los interesados y/o afectados). En efecto, «the USA Patriot Act» permite el acceso a este tipo de información y, adicionalmente, establece por ley la no revelación de la entrega de los datos por parte de las empresas a sus usuarios.
La aplicación de la «Ley Patriótica» incluye el envío de datos obtenidos de forma secreta en las transacciones entre el Estado norteamericano y Europa, lo cual es extensible a multitud de contextos de especial protección (seguros, banca, comercio internacional, etc.). Este elemento es el que ha despertado la iniciativa legislativa europea mediante la creación de un nuevo paquete de Directivas de la Comisión Europea para salvaguardar la intimidad de los europeos.
La respuesta desde las instituciones comunitarias pretende tener acogida entre los 27 Estados miembros y conllevará la inclusión de medidas adecuadas y específicas contra la comunicación de datos de carácter personal entre empresas con actividad mercantil en Europa y con sede en Estados Unidos (o en otro país fuera de Europa). Esto supone la primera gran respuesta a la legislación estadounidense aplicable en la actualidad.
Por el momento, no se conocen muchos detalles de esta iniciativa europea, salvo el régimen sancionador propuesto, que podría ser de hasta un 5% sobre la facturación anual correspondiente de las compañías sancionadas.
Tendremos que esperar hasta 2012 para conocer más detalles.
Fuente: ALT1040
Curso a distancia de Promoción Educativa (6ª edición)
Facultad de Derecho de la Universidad de Murcia
De preinscripción: 1 al 21 de septiembre de 2009 .
Acceso al proceso de preinscripción. La selección de los alumnos se realizará por riguroso orden de preinscripción.
Una vez finalizado el plazo de preinscripción se avisará oportunamente a los seleccionados a través de la dirección de correo-e que hayan proporcionado en la inscripción.
Todos los datos solicitados con carácter obligatorio han de ser proporcionados, especialmente aquellos que sirvan para contactar con los interesados (correo-e, teléfono y dirección postal).
350 euros. Se adjudicarán varias becas, preferentemente para alumnos de la Universidad de Murcia que se comprometan a realizar una labor de difusión de la protección de los datos personales en centros escolares.
Del 22 de septiembre al 10 de octubre de 2009. Una vez recibido el correo-e informando de la admisión de la solicitud de preinscripción puede formalizar la matrícula.
Fechas: del 13 de octubre de 2009 al 24 de mayo de 2010.
Lugar: Internet, a través de SUMA (https://suma.um.es/sumav2/)
Duración aproximada: 250 horas (10 Créditos ECTS)
Alumnos universitarios (Derecho, CC. Políticas, Gestión y Administración Pública, Informática, Económicas, Administración y Dirección de empresas, Periodismo, Marketing y Publicidad, Relaciones Laborales y Ciencias del Trabajo, etc.), abogados, juristas en general, funcionarios públicos y demás profesionales de los respectivos sectores.
Número de máximo de alumnos previsto: 50
Número mínimo de alumnos previsto: 35
Sistema de selección: Por riguroso orden de preinscripción
Sistema: Para la obtención del correspondiente diploma, los alumnos deberán participar activamente en al menos el 60% de los módulos que integran el curso. Se valorará especialmente la intervención en los foros de discusión que se planteen, las realización de las actividades prácticas propuestas y las pruebas teóricas que se efectúen. Los alumnos de la Universidad de Murcia que deseen la posterior convalidación de los créditos habrán de someterse a una prueba presencial oportunamente convocada.
Prácticas en empresas: Existe la posibilidad de que la organización del curso gestione la realización de prácticas voluntarias al margen de la actividad docente en las empresas del grupo Legitec, sin que en ningún caso se asuma responabilidad alguna más allá de la mera intermediación en la gestión. En todo caso, esta posibilidad queda condicionada a la existencia de plazas disponibles en cada momento y sólo se podrán realizar en aquellas localidades donde se encuentren radicadas las empresas del grupo Legitec.
Información adicional: Secretarías Virtuales de todos los Campus y Decanato de la Facultad de Derecho (Mª Fernanda López Griñán)
Teléfono: 868 88 3394
Fax: 868 88 3065
Correo-electrónico: [email protected]
Director JULIÁN VALERO TORRIJOS
El artículo 18.4 de la Constitución Española garantiza como derecho fundamental autónomo la protección de los datos de carácter personal. La inicial regulación dictada en 1992 en desarrollo de dicha previsión constitucional ha sido sustituida por la Ley Orgánica 15/1999, de Protección de los Datos de Carácter Personal, dictada asimismo para adaptar la regulación española a la Directiva 95/46/CE. En ella se definen como ámbito objetivo de su regulación los datos personales, esto es, cualquier información relativa a una persona identificada o identificable, fijando un estricto régimen para el uso de los mismos.
La sociedad de la de principios de siglo XXI tiene una enorme dependencia de la información, hasta el punto de que resultaría inimaginable pensar en situaciones y servicios en que no se manejen datos personales. Ahora bien, la utilización de los mismos se encuentra sometida a un estricto régimen jurídico cuyo incumplimiento puede generar severas sanciones económicas o, en su caso, determinar la invalidez de las decisiones que se adopten en base a la misma. Desgraciadamente, estas consecuencias se utilizan habitualmente como un amenaza contra empresas y entidades públicas, provocando en muchas ocasiones un temor exagerado a la eventual imposición de una sanción. Resulta por tanto imprescindible fomentar la formación cualificada en estos temas no sólo para los profesionales encargados del asesoramiento en estos temas sino, incluso, para el personal interno de Administraciones, empresas, asociaciones y demás entidades.
En consonancia con este planteamiento, el principal objetivo del curso consiste en la formación cualificada en este ámbito desde una perspectiva interdisciplinar (constitucional, civil, administrativa, mercantil, internacionalista…), así como en la oferta de los medios teóricos y prácticos que permitan adecuar la actividad de empresas, Administraciones y demás entidades a la regulación de la Ley Orgánica 15/1999 y demás disposiciones aplicables.
1. PRINCIPIOS GENERALES
Análisis de los principios generales de la protección de los datos personales en la LOPDP: calidad de los datos, consentimiento informado…
2. FICHEROS DE TITULARIDAD PRIVADA
Examen de las peculiaridades de los tratamientos de datos en el sector privado
3. FICHEROS DE TITULARIDAD PÚBLICA
Examen de las particularidades propias los tratamientos de datos en el sector público
4. MEDIDAS DE SEGURIDAD
Aplicación de las medidas de seguridad a los ficheros y tratamientos de datos personales. Especial atención al Reglamento de Medidas de Seguridad
5. PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA
Relaciones entre información sanitaria y protección de datos, con una especial referencia a la problemática de las historias clínicas
6. MARKETING Y PROSPECCIÓN COMERCIAL
Especialidades de la protección de datos en las actividades de promoción y publicidad comercial
7. FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO
Examen de las condiciones para la inscripción de datos en los ficheros de moros y de solvencia patrimonial
8. PROTECCIÓN DE DATOS EN LAS TELECOMUNICACIONES
Examen de las singularidades de la protección de datos en el sector de las telecomunicaciones: Internet, correo electrónico, dispositivos automáticos de obtención de información…
9. TRANSFERENCIA INTERNACIONAL DE DATOS
Análisis de los requisitos, condiciones y límites de las cesiones internacionales de datos
10. LAS SANCIONES ADMINISTRATIVAS.
Los procedimientos administrativos en materia de protección de datos
ANDREU MARTÍNEZ, Mª BELÉN. Profesora de Derecho Civil de la Universidad de Murcia
ARNO TORRADES, RAMÓN. Master en propiedad intelectual y sociedad de la información (IP&IT) por Esade. Auditor Cisa (Isaca).
DE MIGUEL SÁNCHEZ, NOELIA. Doctora en Derecho. Asesora jurídica en materia de información sanitaria
FERNANDEZ SALMERON, MANUEL. Profesor de Derecho Administrativo de la Universidad de Murcia
MARTÍNEZ MARTÍNEZ, RICARD. Doctor en Derecho. Técnico de control de bases de datos del Servei d’Informàtica de la Universitat de València.
ORTEGA GIMÉNEZ, ALFONSO. Profesor de Derecho Internacional Privado de la Universidad Miguel Hernández
PLANA ARNALDOS, MARIA DEL CARMEN. Profesora de Derecho Civil de la Universidad de Murcia
VALERO TORRIJOS, JULIAN. Profesor de Derecho Administrativo de la Universidad de Murcia
VEGA GARCIA, FERNANDO LUIS DE LA. Profesor de Derecho Mercantil de la Universidad de Murcia
El curso se realizará exclusivamente a distancia por Internet. Junto a los materiales didácticos que se entregarán a los alumnos, se realizarán numerosas actividades práctica: resolución de supuestos prácticos, comentarios de resoluciones judiciales y textos normativos, foros de discusión…
Universidad de Murcia: Avda. Teniente Flomesta, nº 5 – 30003 – Murcia. Teléfono: +34 868 883000
De la misma forma que en el ámbito interno la estructura de la protección de datos, tiene al Director de la Agencia y a ésta como uno de sus principales protagonistas, para un escenario comunitario está presente la figura del Supervisor Europeo de Protección de Datos, que tal vez no haya sido comentada ni siquiera mencionada en muchos de los manuales de teoría de la protección de datos y de derecho comunitario, de forma somera, pero que no deja de desempeñar un papel relevante, bajo el manto de la Unión Europea; esto es así cuando simplemente y a modo de ejemplo se contempla el gran número de dictámenes en los que participa, realizando grandes consideraciones sobre un asunto en concreto, v.gr: el dictamen del Supervisor Europeo de Protección de Datos, sobre la propuesta del reglamento del Parlamento Europeo y del Consejo relativo a la asistencia mutua administrativa a fin de proteger los intereses financieros de la comunidad contra el fraude y cualquier otra actividad ilegal (DOUE, NUM C94/2 de 28 de abril de 2007)» o bien los acuerdos con el Defensor del Pueblo Europeo, del que mas tarde trataremos.
La primera aproximación que cabe hacer es que se trata de un órgano de reciente creación, concretamente del año 2001 y de conformidad con el artículo 286 del Tratado de la Comunidad Europea, antiguo 213 B, añadido por el Tratado de Ámsterdam de 2 de octubre de 1997: «a partir del 1 de Enero de 1999,los actos comunitarios relativos a la protección de las personas respecto del tratamiento de los datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente tratado o sobre la base del mismo». Esta es en si la filosofía y el eje central del concepto: el máximo respeto a los datos personales y su consiguiente protección y cuidado en orden a incorporarlos en las mencionadas instituciones comunitarias.
Como garantía y refuerzo, el párrafo segundo del mismo artículo 286 dice: «El Consejo establecerá……un organismo de vigilancia independiente responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la comunidad y adoptará en su caso cualesquiera otras disposiciones pertinentes».
Hay que tener muy en cuenta, por tanto que en la Unión Europea, también existe un respeto escrupuloso por los tratamientos de datos personales, aspecto que coincide de igual forma con el ámbito nacional, puesto que esa protección es también referente a las personas físicas. Nada se dice por el momento en lo atinente a una eventual protección de las personas jurídicas; tal vez, la Unión Europea ha querido seguir con la línea llevada a cabo por los países del entorno sociocultural europeo, por lo que preguntarse por la atención hacia las personas jurídicas, nos llevaría a los mismos debates que se venían estableciendo para el caso español o similares.
Lo que sí queda claro es que es un órgano de vigilancia estricta sobre un derecho fundamental como es el de la protección de los datos; ahora bien, no actúa siempre solo; sino que mantiene en muchas ocasiones una estrecha colaboración con el Defensor del Pueblo Europeo, materializándose dicho vínculo en el Memorándum de Acuerdo (2007/ C 27/07), cuyas líneas generales podrían resumirse en:
En lo referente al primer punto, tal vez la idea general es la posibilidad que se le da al afectado de poder elegir entre el Supervisor Europeo o el Defensor del Pueblo Europeo, para la tramitación de su reclamación. Es una posibilidad que se le brinda al interesado, aunque en mi opinión lo aconsejable es poder optar por el Supervisor, ya que se trata del especialista en la materia y mejor conocedor por tanto de la sistemática a seguir.
En el segundo punto, el núcleo está en el conocimiento recíproco de ambas instituciones y eludir situaciones en las que por ejemplo el Defensor del Pueblo Europeo esté conociendo de un asunto en materia de protección de datos y no haya informado al Supervisor Europeo del resultado de sus investigaciones.
En el tercer y último punto, ambas autoridades se reúnen al menos una vez al año, aunque si la situación lo requiere podría haber mas de una reunión, sobre un mismo tema de cara a tratar posibles mejoras que se fueran produciendo.
Existe un documento a mi modo de ver de gran importancia que es la Decisión del Parlamento Europeo, del Consejo y de la Comisión y de la Comisión relativa al estatuto y a las condiciones generales de ejercicio de las funciones del Supervisor Europeo de Protección de Datos; en éste hay 12 consideraciones y 5 artículos. Para resumir todo lo indicado aquí, volveremos a sacar unas ideas generales que nos permiten hacernos un esquema mental rápido y sencillo del concepto:
En la actualidad, los asuntos concernientes a la protección de datos, han ido in crescendo de una forma completamente asombrosa. En la década de los ochenta (época no muy tardía, por otro lado), la idea que la sociedad tenía sobre la protección y los cuidados recaídos sobre los datos personales, no podían compararse de ninguna forma con la concienciación en los nuevos tiempos. Creo que esas preocupaciones sociales que empezaban a suscitarse, provocaron mucho tiempo después un cierto giro o traslado hacia un carácter netamente jurídico. El problema, tal vez es que esa presencia del elemento de Derecho no fue asimilada de forma totalmente clara, hasta que surgieron los primeros pronunciamientos normativos y judiciales (la LORTAD o Ley 5/ 1992 de tratamientos automatizados de carácter personal y la STC 292/ 2000 de 30 de noviembre, respectivamente).Con estos nuevos «soportes»,creo que a la protección de datos hay que observarla bajo una doble perspectiva: jurídica, por supuesto pero sin descuidar su acento sociológico, porque ambos enfoques han permitido a renglón seguido, la creación de unos entes que vigilarán para que esos datos personales, no sean destruidos o bien manipulados a interés del que maneja con ellos y pueda garantizarse de otro modo su concreta circulación siempre y cuando sea necesario y bajo el consentimiento del titular/es.
La paradoja que puede aparecer con esto es que se crea por mandato legislativo la llamada Agencia Española de Protección de Datos (www.aepd.es) ,como garantía de defensa de dichos derechos y medio de adecuación y aplicación pragmática del articulado de la ley; pues bien pretendiendo a su vez reforzar la no vulneración de éstos con la aparición de agencias autonómicas en cambio se aprecia una protección de mayor intensidad en aquellas comunidades que gozan de esta posibilidad y que por el momento son: Madrid, Cataluña y Pais Vasco: tres regiones de amplio desarrollo económico e industrial pero que dejan fuera de sintonía al resto del pais que solo beben de la influencia de la entidad general: o bien una sola agencia estatal con amplia cobertura en toda la nación o bien e intuyo que así será en un futuro un tanto lejano, las diecisiete agencias autonómicas, funcionando de forma simultánea, pretendiendo obtener u n mayor equilibrio en las actuaciones llevadas a cabo y posiblemente con mayor eficacia.
Ciñéndonos al sur de España, por ejemplo: Andalucía todavía no cuenta con una agencia de protección de datos personales, ni mucho menos con una ley autonómica de ficheros de datos que la configure previamente, con lo que nos encontramos con lo expuesto antes: la inscripción de sus ficheros ante el Registro General de la AEPD.
Andalucía, una de las comunidades autónomas en expansión y crecimiento, muestra una serie de objetivos que debidos a su importancia deben ser revisados de forma continua; para ello en el trienio 2007-2010 se han creado una serie de metas estratégicas como es el caso de apostar por una integradora Sociedad de la Información o de una forma específica dentro de la esfera jurídica el ofrecimiento de nuevos derechos y la generalización de las nuevas tecnologías para poder tener una justicia comprensible y ágil a los ciudadanos, como el surgimiento de un modelo de gestión de la administración inteligente de Andalucía, traduciéndose en una administración sin papeles y en la transparencia y cercanía necesaria; como anécdota para que se pueda hacer una idea ligera, sólo el 65,28% del presupuesto total del plan correspondiente a la administración inteligente, por todo esto y debido a la intensa relación entre administración y ciudadanía, p.ej: en el considerable número de ficheros públicos de carácter personal, es necesaria la creación de la Agencia Andaluza de Protección de Datos (AAPD).
Parece ser que de una vez por todas, el Parlamento de Andalucía ha admitido a trámite dándole la calificación de favorable, la proposición de ley de creación de la Agencia Andaluza de Protección de Datos, por lo que la primera cuestión que se nos pude plantear es sobre la conveniencia de tratar primero la futura ley y luego la agencia o viceversa. Estimo que esta segunda posibilidad, podría ser la mas adecuada, teniendo como referente la vasca, madrileña y catalana (las tres autonómicas existentes hasta el momento).La agencia andaluza puede suponer una ayuda bastante importante por la creación, modernización, junto con la ampliación de sus infraestructuras, que implicaría tal vez la agencia autonómica mas adaptada a las necesidades de hoy; todo dependería evidentemente de la dotación de sus recursos y de la gestión de sus cometidos.
Al no haberse creado todavía a día de hoy dicha autoridad regional de control de datos personales, no es tan fácil el hablar sobre lo que no existe, como hacer las valoraciones oportunas y balances correspondientes, después de su nacimiento y sobretodo cuando han transcurrido al menos cinco años; tiempo en el que puedan extraerse resultados concretos y hacer estudios anticipatorios de cara a u nuevo periodo, con lo cual este trabajo, solamente pretende una exposición de forma resumida y esquemática sobre cual podría ser esa configuración que se le de en su momento.
Si observamos detenidamente el artículo 41 de la vigente Ley de Protección de Datos (Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal),podemos leer que las agencias autonómicas, término éste que no viene expresado en ley de forma literal, podrán ser creadas por las comunidades autónomas: «Las funciones de la Agencia Española de Protección de Datos, reguladas en el artículo 37………serán ejercidas cuando afecten a ficheros de datos de carácter personal, creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada comunidad que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido».
Por tanto, la primera consideración está bien clara, serán autoridades de control; la agencia andaluza tendrá también tal consideración y al igual que las autonómicas contará con la excepción de las transferencias internacionales de datos; aspecto éste que solo vincula a la agencia estatal; pero a pesar de esta limitación que de forma evidente viene determinada por ley, no creo que deba considerarse que el campo de actuación y movimiento de una agencia autonómica esté muy acotado; solo por esto que acabo de mencionar: las agencias autonómicas son también entes de Derecho público con personalidad jurídica propia y como tales deben mantener una estrecha vinculación y colaboración no solo con la agencia estatal, sino que si se me apura con otras agencias internacionales, dentro de un marco de carácter europeo como las conferencias internacionales de autoridades de control que vienen celebrándose actualmente; la cuestión clave tal vez sea la forma de encajar esta idea en el inmenso puzzle de la protección de datos.
Un imaginario artículo 2 de la LAAPD (la ley por la que se crea la agencia andaluza),podría decir algo así como que el ámbito de actuación de la agencia sería aplicable a los ficheros de datos de carácter personal creados o gestionados por dicha comunidad autónoma; como continuación y tirando del hilo la consideración de Ente de Derecho, con personalidad jurídica propia y plena capacidad pública y privada que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones; frase prácticamente similar a la establecida para el organismo estatal y no lo es menos en tanto en cuanto, seguimos hablando de administración; la agencia andaluza será un órgano administrativo con la misma catalogación que la agencia madrileña o la catalana.
A efectos estadísticos y como ejemplo, solo en el año 2004,hubo un total de 5897 tratamientos de titularidad pública procedentes de 714 entidades de la comunidad autónoma andaluza que fueran inscritos en el RGPD, dependiente del órgano estatal; sigamos entonces, no nos debe sorprender que no nos movamos del ámbito puramente administrativo, puesto que aquí también se le concederían las potestades de sanción de os ficheros que no cumplan con lo establecido en la ley andaluza de la que tratamos por pura intuición, revisables ulteriormente por la jurisdicción contencioso-administrativa, debido a ese sometimiento del que hemos hecho antes referencia al Derecho Administrativo.
Las potestades de inmovilización de ficheros estarán también presentes en la futura entidad andaluza, ya que de ésta depende y sobre ésta recae la obligación primordial de velar por el cumplimiento de la normativa en materia de protección de datos, pero dicho así es una manera general de explicarlo; para un mejor y mayor acercamiento ese cumplimiento normativo, tendría forzosamente que descomponerse a su vez en aspectos mas concretos y específicos que engarzados de forma coherente, darían plena satisfacción a una ley que ha sido promulgada por su evidente necesidad; entre esos aspectos podrían mencionarse v.gr: la publicidad en sus tratamientos, la adecuación de éstos a los principios generales y la adopción en su caso de las pertinentes medidas cautelares. Otras tareas que se pueden establecer son: la campaña de sensibilización de los ciudadanos (nada que objetar, en principio), la información a éstos sobre sus derechos que pueden ejercer y los correspondientes procedimientos en los que se pueden valer esos derechos; si bien es verdad que estas afirmaciones muestran un carácter mas proactivo y por tanto menos agresivo que la inmovilización y sanción en lo que a ficheros se refiere. Podría pensarse que es mejor el fomento de todo aquello que tienda a la no intimidación de la sociedad; puesto que como su propio nombre indica son órganos de control y como tales deben acercarse al ciudadano desempeñando funciones de previsión y en caso de no prosperar esto último, el ejercicio entonces de la sanción, sin ningún género de dudas, pero siempre como el último recurso.
Creo que también debería comentarse de forma somera el envío de la memoria anual al parlamento andaluz y la ampliación del SIDIR a la agencia andaluza, es decir es un Sistema de Información de Intercambio Registral, que se creó mediante Protocolo de 22 de noviembre de 2004,entre la AEPD y las tres agencias autonómicas de forma que al órgano andaluz se le facilitaría de igual modo el uso de los formatos que sean compatibles para la información relativa a las suscripciones de tratamientos de datos hechos en los diferentes registros.
Cómo proceder a la inscripción de los ficheros en el registro andaluz de la protección de datos y el conocimiento de sus instrucciones sólo puede saberse en el momento de la entrada en vigor del cuerpo normativo. Creo con total convicción que una de las vías por donde mejor puede conocerse la evolución que tendrá la Agencia Andaluza de Protección de Datos estriba fundamentalmente en el contenido de sus instrucciones sobre un tema pragmático y en última instancia en el efectivo cumplimiento por parte de los «responsables-irresponsables» del fichero o bien de sus encargados que a fin de cuentas también están sometidos a los mandatos legales y/o reglamentarios.
Tal vez sean estos los contenidos que de entrada deben tenerse en cuenta en referencia a la Agencia Andaluza. Cuando ésta comience a andar, podremos deducir cual lejos o no estaban nuestras intuiciones sobre la ineludible realidad.
Artículo 1°.- El presente Título tiene por objeto regular el registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración, y en general, el tratamiento de datos personales asentados en archivos, registros, bases de datos, u otros medios similares autorizados, sean éstos públicos o privados, destinados a brindar informes objetivos de carácter comercial.
Se entenderá que el tratamiento regulado involucra toda forma de registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración y toda otra forma del mismo o similar alcance.
También se aplicarán sus disposiciones, en cuanto resulten pertinentes, a los datos sobre personas jurídicas.
Artículo 2°.- Se exceptúan de esta ley, el tratamiento de datos que no sean de carácter comercial como por ejemplo: a) datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar, así como los relativos a encuestas, estudios de mercado o semejantes, los que se regularán por las leyes especiales que les conciernan y que al efecto se dicten; y b) datos sensibles sobre la privacidad de las personas, entendiéndose por éstos, aquellos datos referentes al origen racial y étnico de las personas, así como sus preferencias políticas, convicciones religiosas, filosóficas o morales, afiliación sindical o información referente a su salud física o a su sexualidad y toda otra zona reservada a la libertad individual.
Para la obtención y tratamiento de datos que no sean de carácter comercial se requerirá expresa y previa conformidad de los titulares, luego de informados del fin y alcance del registro en cuestión.
Artículo 3°.– La obtención y el tratamiento de datos personales por parte de personas físicas o jurídicas con el alcance previsto en esta ley, será lícita siempre que se haga conforme a la misma y al ordenamiento jurídico. En todo caso se deberá respetar el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las facultades que esta ley reconoce.
Artículo 4°.– No requiere previo consentimiento el registro y posterior tratamiento de datos personales cuando:
A) Los datos provengan de fuentes públicas de información, tales como registros, archivos o publicaciones en medios masivos de comunicación;
B) Sean recabados para el ejercicio de funciones o cometidos constitucional y legalmente regulados propios de las instituciones del Estado o en virtud de una obligación específica legal;
C) Se trate de listados cuyos datos se limiten a nombres y apellidos, documento de identidad o registro único de contribuyente, nacionalidad, estado civil, nombre del cónyuge, régimen patrimonial del matrimonio, fecha de nacimiento, domicilio y teléfono, ,ocupación o profesión y domicilio;
D) Deriven de una relación contractual del titular de los datos y sean necesarios para su desarrollo y cumplimiento; y
E) Se realice por personas físicas o jurídicas, privadas o públicas, para su uso exclusivo o el de sus asociados o usuarios.
Artículo 5°.- Los datos recogidos a los efectos de su tratamiento deben ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la cual se hubieren obtenido.
El titular del registro es responsable de la violación de esta disposición, así como de la obtención legítima de sus datos.
Se prohíbe la recolección de los mismos por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a esta ley, aun cuando ello no implique violación de la ley penal.
Los datos que sean total o parcialmente inexactos o incompletos deben ser, en su caso, suprimidos, sustituidos o completados por datos veraces y actualizados por el responsable de su tratamiento, en cuanto conociere dicha circunstancia. Asimismo, deberán ser eliminados aquellos datos que hayan caducado conforme lo previsto en el artículo 9°.
Artículo 6°.– Aquellas personas físicas o jurídicas que obtengan legítimamente información proveniente de una base de datos que brinde tratamiento a los mismos, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.
Artículo 7°.– Las personas que por su situación laboral u otra forma de relación con el responsable de un archivo, registro o base de datos o similares tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artículo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. Lo previsto no será de aplicación en los casos de orden de la Justicia competente, de acuerdo con las normas vigentes en esta materia o si mediare consentimiento del titular.
Esta obligación subsistirá aun después de finalizada la relación con el titular del archivo, registro, base de datos o similares.
Artículo 8°.– Queda expresamente autorizado el tratamiento de datos personales relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor o en las circunstancias del artículo 4°.
Artículo 9°.– Los datos personales relativos a obligaciones de carácter comercial sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá solicitar al titular de la base de datos, por única vez, su nuevo registro por otros cinco años.
Este nuevo registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original.
Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción.
Artículo 10°.– Los responsables de la base de datos se limitarán a realizar el tratamiento objetivo de la información registrada tal cual ésta le fuera suministrada, debiendo abstenerse de efectuar valoraciones subjetivas sobre la misma.
Artículo 11°.- Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de diez días hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos correspondiente.
Una vez recibida la comunicación por el responsable, éste dispondrá de un plazo máximo de tres días hábiles para proceder a la actualización del dato, asentando su nueva situación.
Artículo 12°.– Toda persona tendrá derecho a entablar una acción efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en registros o bancos de datos públicos o privados y, en caso de error, falsedad o discriminación, a exigir su rectificación, supresión o lo que entienda corresponder.
Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención a las circunstancias del caso.
Artículo 13°.– Cualquier persona podrá requerir al organismo, de control (artículo 20), información relativa a la existencia y domicilio de archivos, registros o bases de datos personales, sus finalidades y la identificación de sus responsables.
A tales efectos habrá un registro actualizado de consulta pública y gratuita.
Artículo 14°.- Todo titular de datos personales que previamente acredite su identificación con el documento de identidad respectivo, tendrá derecho a obtener toda la información que sobre sí mismo se halle en bases de datos públicas o privadas. Este derecho de acceso sólo podrá ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se hubiere suscitado nuevamente un interés legítimo de acuerdo con el ordenamiento jurídico.
Cuando se trate de datos de personas fallecidas, el ejercicio del derecho al cual refiere este artículo, corresponderá a cualesquiera de sus sucesores universales, cuyo carácter se acreditará por la sentencia de declaratoria de herederos.
La información debe ser proporcionada dentro de los veinte días hábiles de haber sido solicitada. Vencido el plazo sin que el pedido sea satisfecho o si fuera denegado por razones no justificadas de acuerdo con esta ley, quedará habilitada la acción de habeas data prevista en el Capítulo II del Título II de esta ley.
Artículo 15°.– Toda persona física o jurídica tendrá derecho, en caso de corresponder, por haberse constatado error o falsedad en la información de la que es titular, a solicitar la rectificación, actualización y la eliminación o supresión de los datos personales que le corresponda que estén incluidos en una base de datos o similares.
El responsable de la base de datos deberá proceder a realizar la rectificación, actualización, eliminación o supresión, mediante las operaciones necesarias a tal fin en un plazo máximo de veinte días hábiles de recibida la solicitud por el titular del dato o, en su caso, informar de las razones por las que estime no corresponde.
El incumplimiento de esta obligación por parte del responsable de la base de datos o el vencimiento del plazo, habilitará al interesado a promover la acción de habeas data prevista en esta ley.
No procede la eliminación o supresión de datos personales salvo en aquellos casos de notorio error o falsedad, en aquellos casos en que se pueda causar perjuicio a los derechos o intereses legítimos de terceros o cuando contravenga lo establecido por una obligación legal.
Durante el proceso de verificación o rectificación de datos personales, el responsable de la base de datos ante el requerimiento de terceros por acceder a informes sobre los mismos, deberá dejar constancia que dicha información se encuentra sometida a revisión.
Artículo 16°.- La rectificación, actualización, eliminación o supresión de datos personales cuando corresponda, se efectuará sin cargo alguno para el interesado.
Artículo 17°.– El titular de datos personales podrá entablar la acción de protección de datos personales o habeas data, contra todo responsable de una base de datos pública o privada, en los siguientes supuestos:
1°) cuando quiera conocer sus datos personales que se encuentran registrados en una base de datos o similar y dicha información no le hubiese sido
proporcionada por el responsable de la base de datos conforme se prevé en el artículo 9°; o
2°) cuando haya solicitado al responsable de la base de datos su rectificación, actualización, eliminación o supresión y éste no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al efecto en la ley.
Artículo 18°.– La acción de habeas data podrá ser ejercida por el propio afectado titular de los datos o sus representantes, ya sean tutores o curadores y, en caso de personas fallecidas, por sus sucesores universales, en línea directa o colateral hasta el segundo grado, por sí o por medio de apoderado.
En el caso de personas jurídicas, la acción deberá ser interpuesta por sus representantes legales o los apoderados designados a tales efectos.
Artículo 19°.- Las acciones que se promuevan por violación a los derechos contemplados en la presente ley se regirán en lo general por las normas del Código General del Proceso y en lo particular por los artículos 6°, 7°, 10, 12 y 13 y en lo aplicable por los demás artículos de la Ley nº 16.011, de 19 de diciembre de 1988.
Artículo 20°.- El Ministerio de Economía y Finanzas actuará como órgano de control en el tratamiento de datos personales comprendidos en esta ley y tendrá como cometido implementar, vigilar y asesorar en todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley.
Dicha función de control será ejercida por el Ministerio de Economía y Finanzas asistido de una Comisión Consultiva integrada por siete miembros, tres de los cuales serán representantes de dicho Ministerio, uno de los cuales la presidirá; dos representantes del Ministerio de Educación y Cultura, un representante de la Cámara Nacional de Comercio y de Servicios y un representante de la Liga de Defensa Comercial.
La Comisión Consultiva tendrá los siguientes cometidos:
1°) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley, así como de los medios legales de los que disponen para la defensa de los derechos que ésta garantiza;
2°) Asistir y asesorar preceptivamente al Ministerio de Economía y Finanzas en el dictado de reglamentos y resoluciones, referentes a las actividades comprendidas en esta ley;
3°) Llevar un registro permanente y actualizado de los archivos, registros, bases de datos o similares alcanzados por esta ley;
4°) Controlar la observancia de las normas sobre la integridad, veracidad y seguridad de los datos personales comprendidos en esta ley por parte de los responsables de las bases de datos;
5°) Emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en esta ley; y
6°) Tener presente, en lo que fuere pertinente, las resultancias de las acciones de habeas data.
Artículo 21°.– El Ministerio de Economía y Finanzas podrá, en su función de órgano de control, aplicar las siguientes medidas sancionatorias a las firmas de tratamiento de datos en caso que se violen las normas de la presente ley:
1°) Apercibimiento;
2°) Multa de hasta doscientas unidades reajustables;
3°) Clausura del archivo, registro o base de datos respectivo. A tal efecto se faculta al Ministerio de Economía y Finanzas a promover ante los órganos jurisdiccionales competentes, la clausura, hasta por un lapso de seis días hábiles, de las personas o empresas que dispongan de archivos, registros o bases de datos respecto de los cuales se comprobare que infringen o transgreden la presente ley.
Los hechos constitutivos de la infracción serán documentados de acuerdo a las formalidades legales y la clausura deberá decretarse dentro de los tres días siguientes a aquél en que la hubiere solicitado el Ministerio de Economía y Finanzas, el cual quedará habilitado a disponer por sí la clausura si el Juez no se pronunciare dentro de dicho término.
En este último caso, si el Juez denegare posteriormente la clausura, ésta deberá levantarse de inmediato por el Ministerio de Economía y Finanzas.
Los recursos que se interpongan contra la resolución judicial que hiciere lugar a la clausura, no tendrán efecto suspensivo.
Para hacer cumplir dicha resolución, el Ministerio de Economía y Finanzas podrá requerir el auxilio de la fuerza pública.
La competencia de los Jueces actuantes se determinará por las normas de la Ley Orgánica de la Judicatura, nº 15.750, de 24 de junio de 1985.
Artículo 22°.– Las normas de la presente ley no son aplicables a los registros públicos y similares que han sido creados y regulados por normas legales, a los cuales remitirán los interesados.
Artículo 23°.- Los responsables de los registros, archivos, bases de datos o similares existentes, contarán con un plazo de noventa días a partir de la promulgación de esta ley para cumplir con la normativa de la misma e inscribirse en el registro respectivo.
Artículo 24.– Los responsables de una base de datos o similar, dispondrán de un plazo de noventa días a partir de la entrada en vigencia de esta ley para actualizar sus registros de acuerdo con lo dispuesto en la misma. Deberán además, implementar un mecanismo informático mediante el cual, una vez transcurridos los plazos precedentemente señalados, los datos caducos sean eliminados.
En el mismo plazo, los acreedores por obligaciones que fueron registradas por impagas incorporadas al registro, archivo o base de datos desde hace más de cinco años, podrán solicitar su actualización.
Artículo 25°.– Los acreedores por obligaciones incumplidas, que a la fecha de entrada en vigencia de esta ley se encuentren canceladas y no lo hayan comunicado al responsable de la base de datos, contarán con un plazo de diez días hábiles para hacerlo y éste de tres días para hacerlo efectivo.
Artículo 26°.– El Poder Ejecutivo deberá reglamentar la presente ley dentro de los ciento ochenta días de su promulgación.
ENVIADO POR
PROF. DR. RUBEN FLORES DAPKEVICIUS
[email protected]
Montevideo. noviembre 2004-11-24
Adoptado el 1 de agosto de 2003 por el Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales. (MARKT/12168/02/ES WP 80)
ARTÍCULO 29 – GRUPO DE PROTECCIÓN DE DATOS
El Grupo se creó en virtud del artículo 29 de la Directiva 95/46/CE y es el órgano asesor comunitario independiente sobre protección de datos y vida privada; sus tareas están fijadas en el artículo 30 de la Directiva 95/46/CE y en el artículo 14 de la Directiva 97/66/CE. Gestión administrativa: Dirección E (Servicios, Propiedad Intelectual e Industrial, Medios de Comunicación y Protection de Datos) de la Comisión Europea, Dirección General de Mercado Interior. Bruselas, Bélgica, Website: www.europa.eu.int/comm/privacy
WP 80 Documento de trabajo sobre biometría. Adoptado el 1 de agosto de 2003
EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995(1),
Visto el artículo 29, así como la letra a) del apartado 1 y el apartado 3 del artículo 30 de dicha Directiva, Visto su reglamento interno, y en particular sus artículos 12
y 14, (1) Diario Oficial nº L 281 de 23.11.1995, p. 31; se puede
consultar en: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm ha adoptado el presente documento de trabajo.
1. INTRODUCCIÓN
El rápido progreso de las tecnologías biométricas y su aplicación generalizada estos últimos años precisan de un estudio pormenorizado desde el punto de vista de la protección de datos(2). Una utilización amplia y sin control de la biometría es preocupante desde el punto de vista de la protección de los derechos y libertades fundamentales de las personas. Este tipo de datos es de una naturaleza especial, ya que tienen que ver con las características comportamentales y fisiológicas de una persona y pueden permitir su identificación inequívoca(3).
En la actualidad, el tratamiento de datos biométricos se suele utilizar en procedimientos automatizados de autenticación/comprobación e identificación, principalmente para el control de entrada a las zonas físicas y virtuales (acceso a sistemas o servicios electrónicos particulares).
Anteriormente, el uso de la biometría estaba limitado sobre todo a los ámbitos del ADN y la comprobación de las huellas digitales. La recopilación de las huellas digitales se utilizaba especialmente para fines legales (por ejemplo investigación criminal). Si la sociedad fomenta el desarrollo de bases de datos de huellas digitales u otras bases de datos biométricos para otras aplicaciones corrientes, se puede incrementar la reutilización potencial de esos datos por parte de otros como elemento de comparación e investigación en el marco de sus propios fines, sin haber
pretendido inicialmente ese objetivo; las autoridades encargadas de hacer cumplir la ley podrían figurar entre esos «otros».
Una preocupación específica relacionada con los datos biométricos es que el público se insensibilice, mediante la ampliación del uso de esos datos, ante los efectos que pueda tener el tratamiento para la vida cotidiana. Por ejemplo, el uso de la biometría en las bibliotecas escolares puede hacer que los niños sean menos conscientes de los riesgos relativos a la protección de datos que pueden tener consecuencias para ellos en una etapa posterior de su vida.
El presente documento se propone contribuir a la aplicación eficaz y armoniosa de las disposiciones nacionales sobre protección de datos adoptadas de acuerdo con la Directiva 95/46/CE a los sistemas biométricos. El presente documento se va a centrar principalmente en las aplicaciones biométricas para fines de autenticación y comprobación. El Grupo pretende proporcionar unas orientaciones europeas uniformes, especialmente para el sector de los sistemas biométricos y para los usuarios de estas tecnologías.
(2) A partir del 11 de septiembre de 2001, la biometría se ha presentado a menudo como un medio adecuado para mejorar la seguridad pública.
En la Unión Europea, se debate sobre la introducción de la biometría en carnés de identidad, pasaportes, documentos de viaje y visados. Próximamente, los EEUU van a exigir identificadores biométricos para extranjeros al entrar y salir del país. El Convenio OIT nº 108 se modificó en 2003 con objeto de introducir datos biométricos obligatorios para la gente de mar. También se está debatiendo en otros foros internacionales como el G8, la OCDE, etc.
(3) No obstante, la identificación única depende de diversos factores como las dimensiones de la base de datos y el tipo de biometría utilizada.
2. DESCRIPCIÓN DE LOS SISTEMAS BIOMÉTRICOS
Los sistemas biométricos son aplicaciones de las tecnologías biométricas que permiten la identificación automática, y/o la autenticación/comprobación de una persona(4). Se suelen utilizar aplicaciones de autenticación/comprobación para diversas tareas en campos muy distintos y bajo la responsabilidad de una amplia gama de entidades diferentes.
Cada biometría, ya se utilice para autenticación/comprobación o para identificación, depende, más o menos, del elemento biométrico en cuestión, que puede ser:
– universal: el elemento biométrico existe en todas las personas(5);
– único: el elemento biométrico debe ser distintivo para cada persona;
– y permanente: la propiedad del elemento biométrico es permanente a lo largo del tiempo para cada persona.
Se puede distinguir entre dos categorías principales de técnicas biométricas, en función de que se utilicen datos estables o datos dinámicos sobre el comportamiento(6).
En primer lugar, existen técnicas basadas en aspectos físicos y fisiológicos que miden las características fisiológicas de una persona e incluyen: comprobación de las huellas digitales, análisis de la imagen del dedo, reconocimiento del iris, análisis de la retina, reconocimiento facial, resultados de muestras de las manos, reconocimiento de la forma de la oreja, detección del olor corporal, reconocimiento de la voz, análisis de muestras del ADN(7) y análisis de los poros de la piel, etc.
En segundo lugar, existen técnicas basadas en aspectos comportamentales, que miden el comportamiento de una persona e incluyen la comprobación de la firma manuscrita, el análisis de la pulsación sobre las teclas, el análisis de la forma de caminar, etc.
Teniendo en cuenta la rápida evolución técnica y la creciente preocupación por la seguridad, numerosos sistemas biométricos funcionan combinando diferentes características biométricas del usuario con otras tecnologías de identificación o autenticación. Algunos sistemas, por ejemplo, asocian el reconocimiento facial y el registro de la voz. Para realizar la autenticación, se pueden utilizar conjuntamente tres métodos diferentes – basándose en algo que conozca una persona (contraseña, número de identificación personal, etc.), algo que posea una persona (ficha, clave CAD, tarjeta inteligente, etc.) y algo que sea una persona (un rasgo biométrico). Por ejemplo, se podría introducir en un ordenador una tarjeta inteligente, teclear una contraseña y presentar sus huellas digitales.
La recopilación de muestras biométricas, los denominados datos biométricos (imagen de las huellas digitales, del iris o de la retina, grabación de la voz), se lleva a cabo durante una fase llamada de «inscripción» utilizando un sensor específico para cada tipo de biometría. El sistema biométrico extrae rasgos específicos del usuario a partir de los datos biométricos para elaborar una «plantilla» biométrica. La plantilla es una reducción estructurada de una imagen biométrica: la medida biométrica registrada de una persona. Lo que debe almacenarse es la plantilla, presentada en forma digitalizada, y no el propio elemento biométrico. Además, se pueden tratar datos biométricos como datos brutos (una imagen) dependiendo del funcionamiento del sistema biométrico utilizado(8).
La fase de inscripción juega un papel fundamental ya que es la única en que aparecen al mismo tiempo los datos brutos, los algoritmos de extracción y protección (criptografía, comprobación aleatoria, etc.) junto con las plantillas. Debería destacarse a este respecto, que si los datos brutos revelan información que puede considerarse sensible en el sentido del artículo 8 de la Directiva 95/46/CE, el proceso de inscripción de esos datos deberá realizarse de acuerdo con dicha disposición (véase más adelante el punto 3.7).
Otras cuestión igualmente importante desde el punto de vista de la protección de datos es la forma del almacenamiento de las plantillas personales, que depende del tipo de aplicación para el que se vaya a usar el dispositivo biométrico y del tamaño de las propias plantillas.
Las plantillas se pueden almacenar de una de las siguientes maneras:
a) – en la memoria de un dispositivo biométrico;
b) – en una base de datos central;
c) – en tarjetas de plástico, tarjetas ópticas o tarjetas inteligentes. Este método de almacenamiento permite a los usuarios llevar consigo sus plantillas como dispositivos de identificación.
En principio, no es necesario almacenar los datos de referencia en una base de datos a efectos de autenticación/comprobación; es suficiente almacenar los datos personales de manera descentralizada. A la inversa, la identificación sólo puede realizarse almacenando los datos de referencia en una base de datos centralizada, porque, con objeto de averiguar la identidad del interesado, el sistema debe comparar sus plantillas o datos brutos (imagen) con las plantillas o datos brutos de todas las personas cuyos datos ya están almacenados de forma centralizada.
Otro extremo de gran importancia desde el punto de vista de la protección de datos es el hecho de que algunos sistemas biométricos se basan en datos como huellas digitales o muestras de ADN, que se pueden recopilar sin que el interesado sea consciente ya que puede dejar rastros sin darse cuenta de ello. Al aplicar un algoritmo biométrico a las huellas digitales encontradas en un vaso, se puede(9) averiguar si la persona está registrada en una base de datos que contenga datos biométricos, y en ese caso, determinar su identidad, mediante la comparación de las dos plantillas. Todo esto ocurre también con otros sistemas biométricos, como los basados en el análisis de la pulsación sobre las teclas o el reconocimiento facial a distancia, gracias a las características de la tecnología utilizada(10). El aspecto problemático es, por una parte, que esta recogida y este tratamiento de datos puede hacerse sin el conocimiento del interesado y, por la otra, que independientemente de su fiabilidad actual, esas tecnologías biométricas se prestan a una utilización generalizada a causa de su «bajo nivel de intrusión». Por consiguiente, parece necesario establecer garantías específicas a este respecto.
(4) La diferencia entre autenticación (comprobación) e identificación es importante. La autenticación responde a la pregunta: ¿soy quien pretendo ser? El sistema certifica la identidad de la persona mediante el tratamiento de datos biométricos referidos a la persona que pregunta y toma una decisión sí/no (comparacion1:1). La identificación responde a la pregunta: ¿quién soy? El sistema reconoce a la persona que pregunta distinguiéndola de otras personas, cuyos datos biométricos también están almacenados. En ese caso, el sistema toma una decisión 1 entre n, y responde que la persona que pregunta es X.
(5) A este respecto, no todos los elementos biométricos son equivalentes y el índice de diferenciación de una persona frente a otra es muy diferente, en función del tipo de biometría utilizada. Los elementos biométricos más distintivos parecen ser el ADN, la retina y las huellas digitales.
(6) Algunas técnicas pueden ser fisiológicas y comportamentales a la vez.
(7) Aunque el uso del ADN para la identificación biométrica plantea cuestiones específicas, el presente documento no va a ocuparse de ellas. Se puede señalar que la generación de un perfil de ADN en tiempo real como instrumento de autenticación no parece posible actualmente.
(8) El presente documento hace referencia básicamente a sistemas biométricos basados en plantillas y podría aplicarse asimismo a datos brutos. Sin embargo, la especificidad de los datos brutos puede dar lugar a una adaptación de los requisitos en materia de protección de datos.
(9) No obstante, esto implica al menos ciertos medios como la capacidad de recopilar las huellas digitales del vaso sin deteriorarlas, el material técnico para el tratamiento de los datos procedentes de las huellas digitales, el acceso al algoritmo del constructor y/o a la base de datos de huellas digitales.
3. APLICACIÓN DE LOS PRINCIPIOS DE LA DIRECTIVA 95/46/CE
3.1. Aplicación de la Directiva 95/46/CE
El apartado a) del artículo 2 de la Directiva 95/46/CE define los «datos personales» como «toda información sobre una persona física identificada o identificable (…); se considerará identificable toda persona cuya identidad pueda determinarse, directamente o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica (…)». El considerando 26 añade la siguiente explicación «para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona».
De acuerdo con esta definición, las medidas de identificación biométrica o su versión digital en forma de plantilla son casi siempre datos personales(11). Resulta que los datos biométricos siempre pueden considerarse como «información sobre una persona física» ya que afectan a datos que proporcionan, por su propia naturaleza, información sobre una persona determinada. En el contexto de la identificación biométrica, la persona es generalmente identificable, porque los datos biométricos se usan para identificar o autenticar/comprobar al menos en la medida en que el interesado se distingue de cualquier otro(12).
De conformidad con el apartado 1 del artículo 3 de la Directiva 95/46/CE, los principios de la protección de datos se aplican al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. La directiva no se aplica si los datos los trata una persona física durante una actividad puramente personal o doméstica. Numerosas aplicaciones biométricas en el ámbito domestico entrarán en esta categoría.
Aparte de estas excepciones específicas, el tratamiento de datos biométricos sólo se puede considerar lícito si se realizan todos los procedimientos en cuestión (empezando por la inscripción) respetando las disposiciones de la Directiva 95/46/CE.
El presente documento no examina todas las cuestiones que plantea la aplicación de la Directiva 95/46/CE a los datos biométricos, sino que se tratan sólo los más relevantes y, por tanto, no facilita una visión exhaustiva de las consecuencias de la aplicación de la Directiva 95/46/CE.
(10) Véase el punto 3 sobre la aplicación de la Directiva 95/46/CE y más concretamente el punto 3.3. sobre la obligación de informar al interesado.
(11) Cuando los datos biométricos, como una plantilla, se almacenan de manera que el responsable del tratamiento o cualquier otra persona no pueden utilizar ningún medio razonablemente para identificar al interesado, dichos datos no se clasificarán como datos personales.
(12) La identificabilidad de la persona depende también de la disponibilidad de otros datos que (conjunta o separadamente) permiten la identificación de la persona en cuestión. La posibilidad de «identificación
directa» por medio de «uno o varios elementos específicos, característicos de su identidad física» se menciona explícitamente en la definición de los datos personales del apartado a) del artículo 2 de la Directiva 95/46/CE.
3.2. Principio de fines y proporcionalidad
Con arreglo al artículo 6 de la Directiva 95/46/CE, los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines. Además, los datos personales serán adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente (principio de fines).
El cumplimiento de este principio implica en primer lugar una determinación clara de los fines para los que se recogen y tratan los datos biométricos. Por otra parte, hace falta evaluar el cumplimiento de la proporcionalidad y de la legitimidad, teniendo en cuenta los riesgos para la protección de los derechos y libertades fundamentales de las personas y especialmente si los fines perseguidos pueden alcanzarse o no de una manera menos intrusiva. La proporcionalidad ha sido el criterio principal en casi todas las decisiones adoptadas hasta ahora por las autoridades encargadas de la protección de datos sobre el tratamiento de datos biométricos(13).
Para fines de control de acceso (autenticación/comprobación), el Grupo opina que los sistemas biométricos relativos a características físicas que no dejan rastro (por ejemplo la forma de la mano, pero no las huellas digitales) o los sistemas biométricos relativos a características físicas que dejan rastro pero no dependen de la memorización de los datos poseídos por una persona distinta del interesado (en otras palabras, los datos no se memorizan en el dispositivo de control de acceso ni en una base de datos central) crean menos riesgos para la protección de los derechos y libertades fundamentales de las personas(14). Diversas Autoridades encargadas de la protección de datos han respaldado esta opinión y han declarado que sería preferible no almacenar la biometría en una base de datos sino más bien sólo en un objeto disponible exclusivamente para el usuario, como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria(15). Dicho de otro modo, las aplicaciones de autenticación/comprobación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no debería suponer la utilización de excesivas técnicas de identificación.
Por consiguiente, el Grupo considera que debería examinarse cuidadosamente el uso de tipos distintos de aplicación (basados en plantillas de huellas digitales en una terminal o en una base de datos central) antes de su puesta en marcha. No obstante, si se va a aplicar ese tipo de sistema, por ejemplo en el caso de instalaciones de alta seguridad(16), se puede considerar como un tratamiento de datos que presenta riesgos en el sentido del artículo 20 de la Directiva 95/46/CE y debe presentarse al control previo de las autoridades de protección de datos de acuerdo con la legislación nacional (véase el punto 3.5).
La Directiva 95/46/CE prohíbe el tratamiento ulterior que fuera incompatible con los fines para los que se recogieron los datos. Por ejemplo cuando los datos biométricos se tratan con fines de control de acceso, el uso de esos datos para evaluar el estado emocional del interesado o para vigilarlo en el lugar de trabajo no sería compatible con los fines originales de la recogida. Deben tomarse todas las medidas posibles para evitar esta reutilización incompatible(17). La Directiva 95/46/CE establece excepciones a la prohibición de someter los datos a un tratamiento ulterior con fines incompatibles, pero bajo una serie de condiciones específicas.
Se acepta generalmente que el riesgo de reutilización de datos biométricos obtenidos a partir de rastros físicos dejados por personas sin darse cuenta (por ejemplo: huellas digitales) para fines incompatibles es relativamente bajo si los datos no están almacenados en bases de datos centralizadas, sino en poder de la persona y son inaccesibles para terceros. El almacenamiento centralizado de datos biométricos incrementa asimismo el riesgo del uso de datos biométricos como llave para interconectar distintas bases de datos, lo cual podría permitir obtener perfiles detallados de los hábitos de una persona tanto a nivel público como privado. Además, la cuestión de la compatibilidad de los fines nos lleva a la interoperabilidad de diferentes sistemas que utilizan la biometría. La normalización que requiere la
interoperabilidad puede dar lugar a una mayor interconexión entre bases de datos.
El uso de la biometría plantea también el tema de la proporcionalidad de cada categoría de datos a la luz de los fines para los que se tratan dichos datos. Los datos biométricos sólo pueden usarse de manera adecuada, pertinente y no excesiva, lo cual supone una estricta valoración de la necesidad y proporcionalidad de los datos tratados(18). Por ejemplo, la CNIL francesa ha rechazado el uso de huellas digitales en el caso del acceso de los niños a un comedor escolar(19), pero ha aceptado con el mismo fin el uso de los resultados de muestras de las manos. La autoridad portuguesa de protección de datos ha tomado recientemente una decisión desfavorable sobre la utilización de un sistema biométrico (huellas digitales) por parte de una universidad para controlar la asiduidad y puntualidad del personal no docente(20).
La autoridad alemana de protección de datos adoptó una decisión favorable sobre la introducción de características biométricas en los documentos de identidad con objeto de evitar su falsificación, siempre que los datos se almacenen en el microchip de la tarjeta y no en una base de datos para compararlos con las huellas digitales del propietario.
Puede surgir una dificultad específica porque los datos biométricos contienen con frecuencia más información de la necesaria para las funciones de identificación o autenticación/comprobación. Esto ocurre con más probabilidad en el caso de la imagen original (datos brutos) ya que la plantilla puede y debe construirse técnicamente de manera que no se traten los datos que no son necesarios. Los datos innecesarios deberían destruirse cuanto antes(21). Por otra parte, ciertos datos biométricos pueden revelar el origen racial o hacer referencia a la salud (véase más adelante el punto 3.7.).
Por último, debe mencionarse que el uso de sistemas biométricos puede realizarse de manera que se considere como una tecnología que mejora la protección de la vida privada entre otras cosas porque es capaz de reducir el tratamiento de otros datos personales como el nombre, la dirección, la residencia, etc.
(13) Por ejemplo, las decisiones de las autoridades neerlandesas, francesas, alemanas, italianas y griegas.
(14) Se pueden distinguir los datos biométricos que se tratan de manera centralizada de los datos de referencia biométricos que se almacenan en un dispositivo móvil y el proceso de conformidad se realiza en la tarjeta y no en el sensor o cuando éste forma parte del dispositivo móvil.
(15) Deben tenerse en cuenta los mecanismos empleados para resolver los problemas derivados de la pérdida, robo o deterioro de tarjetas y hay que fomentar los que no implican almacenamiento de datos biométricos. Cuando sea viable, deberán recogerse de nuevo los datos directamente a partir del interesado.
(16) En la situación actual de la tecnología biométrica no existen aún soluciones fiables, de identificación pura en tiempo real par una población de cualquier dimensión, y no es probable que esté disponible en un futuro previsible.
(17) Como se afirma más arriba, estos fines deben definirse claramente.
(18) Por otra parte, el anonimato o el uso de pseudónimos debe ser posible en determinadas circunstancias. Deben tenerse en cuenta los mecanismos empleados para resolver los problemas derivados de la pérdida, robo o deterioro de tarjetas en este contexto y hay que fomentar los que no implican almacenamiento de datos biométricos. Cuando sea viable, deberán recogerse de nuevo los datos directamente a partir del interesado.
(19) Sin embargo, parece que la autoridad británica de protección de datos ha aceptado el uso de huellas digitales en circunstancias similares cuando se han adoptado las garantías apropiadas.
(20) La autoridad portuguesa de protección de datos considera que la aplicación de ese tipo de sistemas es desproporcionada y excesiva, teniendo en cuenta los fines del tratamiento de datos. El sistema debería almacenar esos datos en un dispositivo biométrico y el corpus de personas a controlar era aproximadamente de 140.
(21) Esta supresión puede apoyarse también en la letra e) del apartado 1 del artículo 6 de la Directiva 95/46/CE que estipula que los datos personales se conserven durante un periodo no superior al necesario para los fines para los que se traten.
3.3. Obtención leal e información sobre el interesado
El tratamiento de datos biométricos y en particular su recogida se realizará de manera leal(22). El responsable del tratamiento informará al interesado de conformidad con los artículos 10 y 11 de la Directiva 95/46/CE(23), lo cual incluye concretamente la definición exacta de los fines y la identidad del responsable del tratamiento del registro (que será frecuentemente la persona encargada del sistema biométrico o de la técnica biométrica).
Deben evitarse los sistemas que recogen datos biométricos sin el conocimiento de los interesados. Algunos sistemas biométricos como el reconocimiento facial a distancia, la recogida de huellas digitales o la grabación de la voz presentan más riesgos desde este punto de vista.
(22) Apartado a) del artículo 6 de la Directiva 95/46/CE.
(23) Las excepciones a la obligación de informar a los interesados contempladas en los artículos 10 y 11 de la Directiva 95/46/CE
deberán basarse en medidas legislativas y constituir una medida necesaria para restringir el ámbito de actuación de la obligación de información para proteger los intereses enumerados en el artículo 13 de la Directiva 95/46/CE (la seguridad pública, la prevención, la investigación, la detección y la represión
de infracciones penales, etc.).
3.4. Criterios de legitimación del tratamiento de datos
El tratamiento de los datos biométricos debe basarse en uno de los motivos de legitimidad contemplados en el artículo 7 de la Directiva 95/46/CE. Si el responsable del tratamiento del registro utiliza el consentimiento como motivo de legitimidad, el Grupo subraya que deberá cumplir las condiciones fijadas en el artículo 2 de la Directiva 95/46/CE (toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen).
3.5. Control previo – notificación
Como se ha indicado anteriormente, el Grupo apoya el uso de sistemas biométricos que no memoricen rastros en un dispositivo de control de acceso ni los almacene en una base de datos central (véase el punto 3.2.). Pero si está prevista la utilización de esos sistemas y, teniendo en cuenta el riesgo de la (re)utilización con distintos fines y los peligros específicos en caso de acceso no autorizado, el Grupo recomienda que los Estados miembros contemplen la posibilidad de presentarlos al control previo por parte de las autoridades encargadas de la protección de datos de conformidad con el artículo 20 de la Directiva 95/46/CE, ya que es probable que ese tipo de tratamiento comporte riesgos específicos para los derechos y libertades de los interesados. Si los Estados miembros desean introducir controles previos relativos al tratamiento de los datos biométricos, deberá consultarse oportunamente a las autoridades nacionales encargadas de la protección de datos antes de la introducción de las mencionadas medidas.
3.6. Medidas de seguridad
En virtud del artículo 17 de la Directiva 95/46/CE, el responsable del tratamiento deberá tomar todas las medidas de seguridad técnicas y de organización adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos biométricos dentro de una red.
Deben adoptarse medidas de seguridad con motivo del tratamiento de datos biométricos (almacenamiento, transmisión, extracción de características y comparación, etc.) y sobre todo si el responsable del tratamiento transmite esos datos a través de Internet. Las medidas de seguridad podrían incluir, por ejemplo, la codificación de las plantillas y la protección de las claves de codificación aparte del control del acceso y una protección que convierta en virtualmente imposible la reconstrucción de los datos originales a partir de las plantillas.
En este contexto, deberían tomarse en consideración determinadas nuevas tecnologías.
La posibilidad de utilizar datos biométricos como claves de codificación constituye un desarrollo interesante; con ello habría a priori menos riesgos para el interesado ya que la descodificación sólo podría hacerse en base a una nueva recogida de los datos biométricos a partir del propio interesado y así se evita la creación de bases de datos con plantillas de datos biométricos que puedan reutilizarse para fines ajenos.
Las medidas de seguridad necesarias deberán aplicarse desde el primer momento del tratamiento, y especialmente durante la fase de «inscripción», en la que los datos biométricos se transforman en plantillas o imágenes. No hace falta decir que toda pérdida de las cualidades de integridad, confidencialidad y disponibilidad con respecto a las bases de datos sería claramente perjudicial para cualquier aplicación futura basada en la información contenida en dichas bases de datos, y causaría asimismo un daño irreparable a los interesados. Por ejemplo, si las huellas digitales de una persona autorizada se asociaran con la identidad de una persona no autorizada, esta última podría acceder a los servicios de que dispone el propietario de las huellas digitales, sin tener derecho a ello.
El resultado sería un robo de identidad, que (independientemente de su detección) quitaría fiabilidad a las huellas digitales de la persona para futuras aplicaciones y, en consecuencia, limitaría su
libertad.
Los errores que se producen dentro de los sistemas biométricos pueden tener graves consecuencias para la persona y, en particular, la denegación errónea a personas autorizadas y la aceptación errónea de personas no autorizadas pueden provocar serios problemas a muy diferentes niveles. A priori, el uso de datos biométricos debería reducir el riesgo de ese tipo de errores. Sin embargo, también puede crear la ilusión de que la identificación o autenticación/comprobación del interesado siempre es correcta. Para el interesado puede ser difícil o incluso imposible demostrar lo contrario. Por ejemplo, un sistema puede identificar erróneamente a una persona como alguien al que se hubiera prohibido tomar un avión o entrar en un país específico y que no dispusiera de muchos medios para resolver el problema cuando se presenta esa prueba «indiscutible» contra él.
En tales casos, debería destacarse una vez más que toda decisión que afecte jurídicamente a una persona sólo debería adoptarse una vez se haya confirmado el resultado del tratamiento automatizado de conformidad con el artículo 15 de la Directiva 95/46/CE. Por último, hay que señalar que el uso de la biometría podría mejorar los procedimientos de control, por ejemplo en el caso de acceso a datos personales relativos a terceros, como en caso de robo y utilización indebida (procedimientos de autorización).
3.7. Datos sensibles
Determinados datos biométricos podrán considerarse sensibles en el sentido del artículo 8 de la Directiva 95/46/CE y, en particular, los datos que revelen el origen racial o étnico o los datos relativos a la salud. Por ejemplo, en sistemas biométricos basados en el reconocimiento facial, se pueden tratar los datos que revelan el origen racial o étnico. En esos casos, se aplicarán las garantías especiales contempladas en el artículo 8 además de los principios generales de protección de la Directiva.
Esto no significa que todo tratamiento de datos biométricos vaya a incluir necesariamente datos sensibles. Si un tratamiento contiene datos sensibles es una cuestión de apreciación vinculada con la característica biométrica específica utilizada y la aplicación biométrica en sí. Es más probable que eso ocurra en caso de tratamiento de datos biométricos en forma de imágenes, porque en principio los datos brutos no se pueden reconstruir a partir de la plantilla.
3.8. Identificador único
Los datos biométricos son únicos y la mayoría generan una plantilla (o imagen) única. Si se utilizan ampliamente, en particular para una parte sustancial de una población, los datos biométricos pueden considerarse como un identificador de aplicación general en el sentido de la Directiva 95/46/CE. El apartado 7 del artículo 8 de la Directiva 95/46/CE sería entonces aplicable y los Estados miembros deberían determinar las condiciones de su tratamiento.
Cuando se desea que los datos biométricos sirvan como clave para la conexión de bases de datos que contienen datos personales24, pueden plantearse problemas especialmente difíciles si el interesado no tiene posibilidad de oponerse al tratamiento de datos biométricos; esto puede producirse en las relaciones entre ciudadanos y autoridades públicas.
En esta perspectiva, sería deseable que las plantillas y sus representaciones digitales se traten mediante manipulaciones matemáticas (codificación, algoritmos o funciones de comprobación aleatoria), que utilicen parámetros diferentes para cada producto biométrico, para evitar la combinación de datos personales procedentes de diversas bases de datos a través de la comparación de plantillas o representaciones digitales.
3.9. Código de conducta y utilización de tecnologías que mejoran la protección de la vida privada
El Grupo anima a la industria a producir sistemas biométricos que faciliten la aplicación de las recomendaciones que aparecen en el presente documento de trabajo y, si deben desarrollarse normas europeas o internacionales en este campo, deberían elaborarse en coordinación con las autoridades de protección de datos a fin de fomentar sistemas biométricos que tengan en cuenta la protección de datos a la hora de su elaboración, minimicen los riesgos sociales y evitan la utilización indebida de datos biométricos. El 24 Véase también el punto 3.2 sobre la reutilización compatible.
El Grupo desea destacar la importancia de las tecnologías que mejoran la protección de la vida privada en este contexto con objeto de reducir al mínimo la recogida de datos y evitar el tratamiento ilícito.
Además, el Grupo subraya la importancia de los códigos de conducta destinados a contribuir a la correcta aplicación de los principios de la protección de datos teniendo en cuenta las características específicas de los diversos sectores, de conformidad con el artículo 27 de la Directiva 95/46/CE. Pueden presentarse códigos comunitarios al Grupo para que éste determine, entre otras cosas, si los proyectos presentados son conformes con las disposiciones nacionales sobre protección de datos, adoptadas en virtud de la Directiva 95/46/CE.
CONCLUSIONES
El Grupo opina que la mayor parte de los datos biométricos implican el tratamiento de datos personales. Por consiguiente, es necesario respetar plenamente los principios de la protección de datos que aparecen en la Directiva 95/46/CE teniendo en consideración, al desarrollar los sistemas biométricos, la especial naturaleza de la biometría, y entre otras cosas su capacidad de recopilar datos biométricos sin el conocimiento del interesado y la casi seguridad del vínculo con la persona.
El cumplimiento del principio de proporcionalidad, que constituye el núcleo de la protección garantizada por la Directiva 95/46/CE impone, especialmente en el contexto de la autenticación/comprobación, una clara preferencia por las aplicaciones biométricas que no tratan datos obtenidos a partir de rastros físicos dejados por personas sin darse cuenta o que no se almacenan en un sistema centralizado. Ello permite al interesado ejercer un mejor control sobre los datos personales tratados que le afectan.
El Grupo desea revisar el presente documento de trabajo a la luz de la experiencia de las autoridades de protección de datos y del progreso tecnológico relacionado con las aplicaciones biométricas. Como los datos biométricos ya se están introduciendo con objeto de una amplia gama de usos en numerosos y distintos foros, deberá empezarse ya a trabajar especialmente en el contexto del empleo, los visados y la inmigración, y la seguridad en los transportes.
En caso de que la responsabilidad de desarrollar sistemas biométricos que respeten la protección de datos deba recaer sobre el sector, sería muy beneficioso desde todos los puntos de vista un diálogo fructífero, en particular en base a un proyecto de código de conducta, entre todas las partes interesadas incluidas las autoridades de protección de datos.
Hecho en Bruselas, el 13 de junio de 2003
Por el Grupo
El Presidente
Stefano RODOTÀ
A agência governamental reguladora do comércio nos EUA – a
FTC – Federal Trade Comission (1)– anunciou no dia 19 deste mês a adoção de novo regulamento da COPPA, a lei americana de proteção de dados das crianças na Internet. COPPA corresponde à abreviatura da Lei que recebeu a denominação de Children’s Online Privacy Protection Act,(2) aprovada pelo Congresso em 1998 (3). Essa lei pretendeu regular a coleta de informações pessoais de crianças menores de 13 anos de idade pelos operadores de sites comerciais na Internet. Basicamente, a Lei em comento estabeleceu que o operador de um website dirigido a crianças ou de serviço on line que coleta informações de crianças deve:
a) informar, através de aviso no site, que tipo de informação está sendo coletada, como ela é utilizada e se é divulgada a terceiros;
b) obter consentimento dos pais ou responsável para a atividade de coleta, uso ou divulgação de informações pessoais de crianças;
c) responder aos pais, mediante solicitação destes, o tipo de informação que foi coletada, para que, dessa forma, possam ter a chance de controlar a coleta e uso de informações pessoais de seus filhos;
d) impedir a continuidade da coleta de informações da criança ou divulgação a terceiro, quando houver prévia solicitação paterna;
e) adotar procedimentos para assegurar a confidencialidade e integridade dos dados recolhidos de crianças.
No conceito de «informações pessoais», a Lei abrangeu dados como nome, endereço, e-mail, número de telefone, número de carteira de identidade ou outro documento, bem como qualquer outro elemento que permita identificar ou contactar a pessoa (criança).
A Lei atribuiu poderes à Federal Trade Comission para baixar atos regulamentares, como também para ajuizar ações judiciais e impor multas por descumprimento das normas relativas à coleta de dados pessoais de crianças por operadores de websites. No regulamento inicial expedido pela FTC em 2000, o alcance da proibição de coleta foi estendido a outros dados, como hobbies e interesses de crianças, coletados através de cookies
(4) e outros mecanismos de rastreamento. O regulamento também definiu que o aviso a ser colocado no site deve ser ostensivo e conter o nome e informações de contato do operador (endereço físico, telefone e e-mail), o tipo de informações que coleta de crianças e como as utiliza (por exemplo, se para fins de marketing) e divulga. Também ficou estabelecido que o consentimento paterno pode ser solicitado por e-mail, via telefônica ou carta enviada aos pais, antes da coleta das informações. Se o operador do site pretende compartilhar as informações da criança com terceiros, aí o consentimento tem que ser obtido por um método mais confiável, como por exemplo, através de um formulário assinado pelos pais, ou por meio da solicitação do número do cartão de crédito deles (para verificar a identidade) ou ainda através de um e-mail assinado digitalmente. O regulamento excepciona da necessidade de obtenção do prévio consentimento certos tipos de coleta que se resumem ao nome ou e-mail da criança para finalidades internas, como suporte aos serviços prestados no site.
Em razão do desenvolvimento tecnológico ocorrido nos últimos anos, a Agência reguladora entendeu que o regulamento da COPPA necessitava de uma atualização. Realmente, quando implementada pela primeira vez em 1998, ainda não havia se disseminado o fenômeno das redes sociais. O Facebook só foi lançado a partir de 2004 e o primeiro Iphone liberado em 2007, seguido do desenvolvimento do sistema operacional Android para smartphones em 2009. Naquela época da edição da Lei, também não havia a pletora de mecanismos de publicidade via adwares
(5) ou advertising networks (6), nem eram utilizados mecanismos de localização geográfica instalados em telefones móveis. Assim, um novo regulamento foi baixado para fazer frente a esse novo cenário tecnológico da disseminação do uso de aparelhos móveis e redes sociais, onde diversos atores agregados na cadeia da comunicação informática podem participar da coleta de informações do usuário, além do operador do site onde ele originalmente ingressa.
O novo regulamento (7), portanto, clarifica algumas das regras da Lei, especialmente no que concerne às tecnologias de localização geográfica e applets (8) para dispositivos móveis (aparelhos celulares), estabelecendo o seguinte:
a) que no conceito de «informação pessoal» (personal information), para fins de aplicação da COPPA, incluem-se dados de localização geográfica, fotografias e arquivos de áudio e vídeo (que contenham voz ou imagem de crianças);
b) que os terceiros que integram os sistemas de advertising networks também se submetem às regras da COPPA;
c) que a coleta de informações de crianças através de «plug ins» (9) instalados através do site, também necessita do consentimento dos pais;
d) que o consentimento dos pais, exigido antes que se possa realizar qualquer coleta de informações de crianças, pode ser obtido por outros meios que permitam a verificação da identidade deles, como cartões de identificação expedidos pelo governo, videoconferência e sistemas de pagamento on line;
e) que os chamados «persistent identifiers», a exemplo de números IP (IP adresses) e senhas de aparelhos móveis, também são considerados informações protegidas pela Lei;
f) que os operadores de websites direcionados ao público infantil devem adotar procedimentos seguros para o armazenamento e retenção dos dados de crianças, que só devem ser armazenados pelo tempo razoavelmente necessário para a execução de uma determinada atividade.
Embora com todas essas precauções adicionais, o novo regulamento da Federal Trade Comission ainda é considerado insuficiente para a segurança e proteção dos dados privados de crianças, segundo alguns (10). Congressistas americanos, desde 2010, vêm discutindo a necessidade de uma completa revisão, através da introdução de um novo feixe de normas com salvaguardas adicionais para crianças e também adolescentes. A primeira discussão reside no limite de idade para aplicação da Lei. Tradicionalmente, as crianças até 12 anos de idade são vistas como mais suscetíveis de práticas enganosas e, portanto, requerem maior proteção. Todavia, a proteção contra práticas massivas de coletas de dados deve ser estendida também aos adolescentes, em razão do radical aumento na utilização da rede mundial de comunicação. Estudos mostram que atualmente 93% das crianças americanas com idade de 12 a 17 anos têm acesso diariamente à Internet e 61% delas acessam a rede diariamente. Além disso, pesquisas recentes revelaram que 71% dos adolescentes possuem perfis em redes sociais (em sites como Facebook e Myspace) (11). O dramático aumento do acesso à Internet por crianças e adolescentes, sobretudo na forma de participação em redes sociais, aumenta os riscos de uso indevido de suas informações.
Imbuído desse sentimento de maior proteção para os dados de crianças e adolescentes na Internet, o congressista Ed Markey (Democrata de Massachussets), juntamente com o seu colega Joe Barton (Republicano do Texas), apresentou o projeto de Lei conhecido como »
Do Not Track Kids Act«, em maio do ano passado (2011), numa tentativa de ampliar as normas de protetivas (12). Além de elevar a idade das pessoas submetidas à proteção legal (adolescentes até 17 anos), o projeto pretende proibir a coleta de informações de menores para fins de marketing. Um dos pontos chaves do projeto reside na obrigação de os sites comerciais voltados para o público infantil instalarem uma função que permita apagar automaticamente informações pessoais de menores. Em outro artigo, esmiuçarei em maiores detalhes os demais aspectos do projeto.
A preocupação com a segurança dos dados pessoais e informações que crianças e adolescentes deixam em sites na Internet é justificável. Cada vez mais constantemente, elas publicam suas preferências e ações, permitindo que terceiros vejam, copiem e divulguem esses dados. O que elas dizem ou fazem pode afetar a reputação delas, de uma maneira não imaginada quando praticam os atos. A vida digital não é somente pública, mas também permanente, no sentido de que os passos dados através da rede mundial de comunicação criam uma espécie de rastro persistente. A publicação de uma simples foto que retrate uma brincadeira ou situação de relaxamento pode ressurgir muitos anos depois e, então, ser interpretada de outra maneira, em prejuízo da imagem do indivíduo. Por outro lado, as pessoas, e em especial crianças e adolescentes, não procuram ter conhecimento da política de privacidade dos sites, que muitas vezes é alterada sem que o usuário tenha sido previamente notificado.
Isso explica a iniciativa dos legisladores norte-americanos, de modo a tornar os controladores de websites responsáveis pela maneira como coletam e usam informações pessoais de crianças. Eles buscaram um adequado balanceamento entre os benefícios que a Internet pode proporcionar como ferramenta educacional e os riscos que oferece à privacidade e segurança das crianças, sujeitas a práticas comerciais enganosas e outros abusos muito mais graves.
Lá nos EUA a população elegeu a proteção das informações das crianças na Internet como prioridade nacional. Aqui no Brasil ainda estamos preocupados no momento com o julgamento do «mensalão» e o esforço enorme que a imprensa e alguns poucos homens públicos estão fazendo para, pela primeira vez na história deste país, levar políticos corruptos para a cadeia. Quando ultrapassarmos esse marco histórico, com a prisão dos mensaleiros (se isso de fato vier a ocorrer), talvez possamos nos preocupar em adotar medidas legislativas similares à COPPA.
(2) O texto completo do COPPA pode ser encontrado em: http://www.coppa.org/coppa.htm
(3) Mas que entrou em vigor somente em 21 de abril de 2000.
(4) Cookie (do inglês, literalmente: biscoito) é um pequeno aplicativo geralmente agregado ao progama navegador que permite guardar as informações sobre páginas eletrônicas visitadas e as preferências do internauta.
(5) Adware é qualquer programa que executa automaticamente, mostra ou baixa publicidade para o computador do internauta depois de instalado ou enquanto a aplicação é executada. Esse tipo de anúncio geralmente aparece na forma de um pop-up. Alguns programas adware têm sido criticados porque ocasionalmente possuem instruções para captar informações pessoais e as repassar para terceiros, sem a autorização ou o conhecimento do usuário. Esta prática é conhecida como spyware, e tem provocado críticas dos experts de segurança e os defensores de privacidade. Porém existem outros programas adware que não instalam spyware (cf. Wikipedia).
(6) Uma empresa de advertising network ou atua conectando fornecedores de produtos ou serviços com proprietários de websites interessados em hospedar a publicidade. Geralmente, usam um servidor central para gerenciar as publicidades dirigidas aos consumidores, possibilitando o marketing direcionado, bem como monitorando o progresso da campanha publicitária, através da contagem de acessos (clicks) à publicidade (geralmente em forma de banners) colocada nos sites. Os servidores remotos de anúncios digitais (remote ad servers) podem controlar banners e outros mecanismos de publicidade on line em diferentes sites.
(7) http://www.ftc.gov/os/2012/12/121219copparulefrn.pdf
(8) Applet é um software aplicativo que é executado no contexto de outro programa (como por exemplo um web browser), executando funções bem específicas. Os Applets geralmente têm algum tipo de interface de usuário, ou fazem parte de uma dentro de uma página da web. Geralmente são desenvolvidos para aparelhos móveis que suportam o modelo de programação de applet. O termo foi introduzido pelo AppleScript, em 1993. AppleScript é uma linguagem de script que age sobre a interface do sistema operacional da Apple (Mac OS X), onde é possível realizar diversas mudanças e alterações de funcionamento e inclusive mesclar ferramentas e funções de um programa para outro (cf. Wikipedia).
(9) Um plugin ou módulo de extensão (também conhecido por plug-in, add-in, add-on) é um programa de computador usado para adicionar funções a outros programas maiores, provendo alguma funcionalidade especial ou muito específica. Geralmente pequeno e leve, é usado somente sob demanda. Uma aplicação pode utilizar tal técnica por diversos motivos, como permitir que desenvolvedores de softwares externos estendam as funcionalidades do produto, suportem funcionalidades antes desconhecidas, reduzam o tamanho do programa ou, até mesmo, separem o código fonte de diferentes componentes devido a incompatibilidade de licenças de software (Cf. Wikipedia).
(10) Ver a propósito, o excelente trabalho acadêmico de Lauren A. Matecki, intitulado Update: COPPA is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, publicado na Northwestern Journal of Law & Social Policy, Volume 5, Issue 2, 2010. Disponível em: http://scholarlycommons.law.northwestern.edu/njlsp/vol5/iss2/7
(11) Segundo notícia divulgada pelo National Center for Missing and Exploited Children, acessível em: http://www.missingkids.com/missingkids/servlet/NewsEventServlet?LanguageCountry=en_US&PageId=3166
(12) Um sumário e o texto completo do projeto podem ser encontrados em: http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.1895
Titulo otorgado por el Real Colegio Universitario Escorial-Maria Cristina y Davara&Davara Asesores Jurídicos
Módulo I: Teoría General sobre Protección de Datos
Módulo II: Los principios de la Protección de Datos
Módulo III: Los derechos de la Protección de Datos
Módulo IV: Aplicación práctica de la Ley Orgánica 15/1999, de protección de datos de carácter personal
Módulo V: Excepciones al consentimiento en el tratamiento y en la cesión de datos. Casos especiales: los ficheros de prestación de información sobre solvencia patrimonial y crédito y los ficheros con fines de publicidad y prospección comercial.
Módulo VI: Medidas de seguridad. El Real Decreto 994/1999 o Reglamento de Seguridad. El documento de seguridad
Módulo VII: La Agencia de Protección de Datos (APD): organización, funciones y potestades. Procedimientos de tutela de derechos y sancionadores ante la APD. Procedimiento contencioso
Módulo VIII: La transferencia internacional de datos. Países con similar nivel de protección. Acuerdos y tratados internacionales.
Formacion a distancia, complementada con una asistencia y atención personal y garantizada con las correspondientes evaluaciones, a distancia y presenciales por profesores especializados.
Duración 10 semanas (28 enero de 2002 al 6 abril de 2002) Pruebas a distancia (obligatorias)
Prueba final presencial (obligatoria) 6 abril 2002
Clases presenciales (asistencia voluntaria): 8, de 11:00 a 14:00 horas en el Real Colegio Universitario Escorial-Maria Cristina sábado 2 febrero 2002 sábado 9 febrero 2002 sábado 16 febrero 2002 sábado 23 febrero 2002 sábado 2 marzo 2002 sábado 9 marzo 2002 sábado 16 marzo 2002 sábado 23 marzo 2002
Talleres de trabajo: se constituirán grupos de trabajo, de asistencia voluntaria, sobre los módulos estudiados que se reunirán, con los correspondientes tutores, los mismos dias de las clases presenciales, en sesiones de 16:00 a 18:30 horas en el Real Colegio Universitario Escorial-Maria Cristina
Precio del curso completo: 2.375 €
Forma de pago: Al realizar la matrícula (antes del 28 de enero de 2002) 752 € mediante ingreso o transferencia bancaria en el Banco Español de Crédito en la cuenta del Real Colegio Universitario Escorial-Maria Cristina, nº 0030-1020-320000043271, indicando «Curso Protección de Datos»
Los restantes pagos mediante domiciliación bancaria en las siguientes fechas: 18 febrero 2002 541 € 4 marzo 2002: 541 € 18 marzo 2002: 541 €
Información: Real Colegio Universitario Escorial-Maria Cristina Pº de los Alamillos, 2. 28200 SAN LORENZO DEL ESCORIAL. MADRID.
Tel. 91.8.90.45.45 Fax: 91.8.90.66.09
http://www.macris.com
E-mail: [email protected]
Davara&Davara Asesores Jurídicos c/ Sor Ángela de la Cruz, 9 28020 MADRID.
Tel: 91.4.17.48.98 Fax: 91.4.17.76.86
http://www.davara.com
E-mail: [email protected]
Iniciativa de Ley Federal de Protección de Datos Personales, presentada por el Senador Antonio García Torres, del Grupo Parlamentario del PRI, en la sesión de la Comisión Permanente del Miércoles 14 de Febrero de 2001
Antonio García Torres, senador de la República por el Estado Libre y Soberano de Michoacán de Ocampo, en ejercicio de la facultad que me concede el artículo 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, someto a la consideración y, en su caso, aprobación de esa Asamblea, iniciativa de Ley Federal de Protección de Datos Personales, apoyándome para ello en la siguiente:
Exposición de motivos
La historia muestra la importancia que ha tenido la información en el desarrollo de la sociedad humana.
Sin embargo, la información, su tratamiento, nunca antes tuvo la potencialidad de daño que tiene actualmente por la misma fuerza de las nuevas tecnologías. Ahora, gracias a las computadoras que se conectan en una red local, o mundial, por ejemplo, se pueden conocer y manipular datos de las personas, físicas o jurídicas.
Esto ha hecho evidente la necesidad de contener los efectos nocivos de estas nuevas tecnologías sobre los derechos fundamentales de las personas.
Con este objetivo, han surgido nuevas garantías procesales en las que se puede reconocer al habeas data1 y otros recursos.
En el exterior existen antecedentes diversos de esta nueva garantía procesal y de los recursos que se han establecido para la defensa de la intimidad y el honor de la persona en el tratamiento de sus datos.
Antecedentes externos
En el orden internacional destacan como antecedentes de la protección de la intimidad y el honor de la persona en el tratamiento de sus datos:
La Declaración Universal de los Derechos Humanos
La Declaración Americana de los Derechos y Deberes del Hombre
Incluso, cabe destacar el Proyecto de Convención Americana sobre Autodeterminación informativa de 1997, compuesto de 21 artículos en los que se propone una regulación para la protección y movimiento internacional de datos, y el cual aborda temas importantes como el derecho a la información en la recolección de los datos, el consentimiento del afectado, la calidad, categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.
En Europa
En Alemania
El 7 de abril de 1970, el Parlamento del estado alemán de Hesse, promulga su normativa de protección de datos Datenshutz convirtiéndose en el primer territorio con una norma dirigida a la protección de datos.
Después, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la Datenshutz Federal. En estos casos, se crea un Comisario Federal para la Protección de Datos (Bundesbeauftragter fur den Datenshutz).
En Francia
En 1978 se establece la Comisión Nacional de la Informática y de las Libertades, un organismo colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.
En España
Desde 1978, la Constitución, en su artículo 18, apartado 4, dice: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos … »
Relacionada con esta disposición constitucional, en España se ha publicado la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal que tiene como objeto básico la protección de la intimidad y el honor de las personas.
En los Estados Unidos de América
El 31 de diciembre de 1974, el Congreso expide el «Privacy Act (literalmente acto de retiro)», con el objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la recolección y tratamiento automatizado de datos personales por parte de las agencias federales.
En América Latina
En Brasil
En 1988 la Constitución Brasileña, en su artículo 5, numeral LXXII, se refiere al «conocimiento de informaciones relativas a la persona de la impetrante…» y a la rectificación de datos.
Aproximadamente 10 años más tarde, en Brasil se expide la Ley número 9.507, de 12 de noviembre de 1997 que reglamenta la disposición constitucional, con base en 23 artículos.
En Colombia
A partir de 1991, el artículo 15 de la Constitución de este país reconoce al habeas data como un derecho fundamental aún no reglamentado.
En Paraguay
Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Policía Nacional, que la Constitución, en su artículo 135 reconoce el derecho de las personas para acceder a la información que le corresponda en archivos públicos y privados, para conocer la finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.
En Perú
Desde 1993, el artículo 200, inciso 3, de la Constitución establece de manera expresa el habeas data con los objetivos de que el interesado pueda acceder a la información pública, con ciertas limitantes, y evitar la difamación de la persona por la difusión o suministro a terceros de informaciones que afecten la intimidad personal y familiar.
En Ecuador
El artículo 30 de la Constitución vigente establece el habeas data con los objetos de acceder a los registros, bancos o bases de datos, conocer su uso y finalidad, así como para solicitar la rectificación, actualización, eliminación o anulación de los datos, en caso de que éstos sean erróneos o afecten ilegítimamente los derechos de las personas.
La ley de Control Constitucional de 1997 ya ha reglamentado la acción de habeas data.
En Argentina
La nueva Constitución de 1994, en su artículo 43, en su párrafo tercero, establece el habeas data como un amparo especial.
Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es hasta el año 2000 que se expide la Ley 25326 de Protección de los Datos Personales, publicada en el Boletín Oficial correspondiente al 2 de noviembre del año mencionado.
En Argentina, el habeas data ha tenido gran recepción, y muestra de ello es que las provincias de Buenos Aires (artículo 20, inciso c de la Constitución local), Córdoba (artículo 50 de su Constitución), Chubut (artículo 56 de su Ley primaria) y Jujuy (artículo 23, inciso 6, de su Constitución), entre otras, prevén el habeas data.
En México, no obstante la gran tradición y entramado constitucional que se posee, no se ha otorgado a los gobernados la garantía procesal del habeas data. México no puede quedarse atrás de los países europeos y latinoamericanos, máxime si se toma en cuenta que los países que ya regulan el habeas data limitan el movimiento internacional de datos con aquellos países que no brinden condiciones equivalentes de seguridad a las propias, de donde se sigue que México, en alguna medida, se encontraría marginado de este movimiento internacional de datos en diferentes materias en las que pueden incluirse la comercial y económica.
La autonomía, la inviolabilidad y la dignidad de la persona
En un estado democrático que se consolida cada día más como el mexicano, se reconocen a las personas prerrogativas de libertad, de igualdad, de equidad, de seguridad, como el derecho de tránsito, de elegir el trabajo que más le acomode, de asociación con todo fin lícito, de un salario digno y remunerador, el derecho a la tierra, el derecho a un proceso justo, entre otras.
Estas prerrogativas descansan en los principios de autonomía, inviolabilidad y dignidad de la persona que se traducen en una esfera de derecho, en la legitimación para buscar la felicidad en el modo particular que se entienda, privilegiando el interés general, pero sin demérito de la persona en lo particular, quien además puede, en cierta medida y en ciertos casos limitar sus derechos.
Sobre estos principios, es natural, descansa el derecho a la integridad física y moral de la persona, el derecho a que se proteja su intimidad, personal y familiar, y su honor.
Paralelos a estos derechos se ubica la garantía procesal del habeas data que tiene el objeto de su tutela efectiva.
Objeto jurídico
Se propone que la garantía procesal tenga por objeto:
1. Que el interesado pueda acceder a los datos personales que le conciernen.
2. Que toda persona pueda acceder a los registros, archivos y bancos de datos públicos o privados de carácter público, y conocer su uso o fin para el que están destinados.
3. Que el interesado pueda pedir la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los datos relativos a su persona.
Bienes protegidos
Los bienes protegidos se identifican con el honor, la intimidad y cualquiera otra garantía del gobernado.
Legitimación activa
Del interesado, esto es, de la persona a la que corresponden o conciernen los datos registrados o archivados, para acceder a ellos, para incluir datos, para actualizarlos, complementarlos, rectificarlos, reservarlos, suspenderlos o cancelarlos.
De toda persona para acceder a los registros, archivos o bancos de datos públicos o privados de carácter público, así como para conocer el uso o fin para el que están destinados.
Legitimación pasiva
Son sujetos pasivos del proceso los archivos, registros, bancos o bases de datos públicos o privados en sus diferentes hipótesis.
En esta tesitura se propone que al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos se adicionen la garantía procesal indicada, en documento por separado y que de ninguna manera condiciona la procedencia de esta proposición, pues ésta sólo tiene por objeto ampliar el marco de garantías existente, no su limitación, además de que esta iniciativa no se contrapone a lo dispuesto en la proposición de reforma constitucional indicada.
En esta iniciativa se comprenden V capítulos, el primero relativo a las disposiciones generales, el segundo a los derechos de los interesados o titulares de los datos, así como a los responsables de los registros, el tercero al Instituto Federal de Protección de Datos Personales, el cuarto a las sanciones, y el quinto a la acción protectora de datos.
En el Capítulo I, se mencionan los objetos de la ley, las expresiones equivalentes, el ámbito de validez, y los principios sobre los cuales descansa la ley, sobresaliendo la circunstancia de que en ningún caso se pueden afectar los archivos, registros, bases o bancos de datos ni las fuentes de información periodísticas.
En el Capítulo II, se regulan los derechos de los interesados, estableciendo un catálogo de obligaciones correspondientes a los organismos públicos y privados titulares de los datos.
De este apartado conviene resaltar los derechos de los interesados para solicitar al Instituto Federal de Protección de Datos Personales la existencia de registros personales, las finalidades y la identidad de los responsables, así como el derecho de pedir a los responsables de archivos, registros, bases o bancos de datos informes, y de pedir de igual manera la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los registros de datos que les correspondan, siempre que no se lesionen derechos de terceros o se atente contra intereses de carácter general o social.
Asimismo, en este Capítulo II, se habla de las responsabilidades de los titulares de los Registros de las diversas categorías (públicos y privados) de bases o bancos de datos, quienes deben adoptar todas las medidas necesarias para la seguridad y conservación idónea de los datos, imponiéndoseles, incluso, el deber de secreto que se extiende a todos aquellos que hayan intervenido en el tratamiento automatizado de los datos.
En el Capítulo III, se establecen las líneas generales para la creación y operación del organismo que tendrá por objeto el control de los responsables de los registros, bases o bancos de datos, así como sus atribuciones, en las que destaca la facultad de sancionar a los responsables de los archivos o registros por la comisión de violaciones leves y graves a esta ley.
En el Capítulo IV, se propone la regulación específica de las sanciones, que van desde el apercibimiento hasta la cancelación de los registros, archivos, bases o bancos de datos.
En el Capítulo V, se propone la regulación de un procedimiento especial del que conozcan los juzgados de distrito competentes con relación a causas federales, pues ello persigue que se resuelvan las controversias de manera pronta y sin obstáculos en tiempos más breves que los que corresponden, incluso a los juicios de amparo, pues una administración de justicia que no se otorgue en esos términos, prácticamente inutilizaría el recurso.
El objeto, los bienes protegidos, la legitimación pasiva y la legitimación activa, han quedado ya establecidas con anterioridad.
Cabe señalar que este procedimiento se establece con entera independencia de los procedimientos que correspondan en tratándose de responsabilidad civil, administrativa o penal.
Finalmente, en las disposiciones transitorias se prevé que los archivos, bases o bancos de datos existentes se puedan registrarse, conforme lo determine el reglamento, en un lapso posterior al establecimiento del Instituto Federal de Protección de Datos.
En estos términos, y de conformidad con lo dispuesto en los artículos 55, fracción II, y 56 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, presento a la consideración de esa Asamblea, la siguiente iniciativa de
Ley Federal de Protección de Datos Personales
Capítulo I
Disposiciones generales
Artículo 1.
3. En ningún caso se podrán afectar los registros y fuentes periodísticas.
Artículo 2.
I. De titularidad pública cuyo objeto por ley sea almacenar datos para su publicidad con carácter general;
II. Cuyo titular sea una persona física y tengan un fin exclusivamente personal;
III. De información científica, tecnológica o comercial que reproduzcan datos ya publicados en medios de comunicación oficial;
IV. De resoluciones judiciales publicadas en medios de comunicación oficial; y,
V. Administrados por los partidos políticos, sindicatos, iglesias y asociaciones religiosas, sola y exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex miembros y que se relacionen con su objeto, sin perjuicio de que la cesión de datos quede sometida a lo dispuesto en esta ley.
3. Se regulan por sus disposiciones específicas los archivos, registros, bases o bancos de datos:
I. Electorales, conforme a los ordenamientos aplicables;
II. Referentes al registro civil, a la prevención, persecución y sanción de los delitos, así como a la ejecución de las sanciones penales;
III. Con fines exclusivamente estadísticos, regulados por la Ley del Instituto Nacional de Geografía, Estadística e Informática; y,
IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad pública o a datos relativos a esos cuerpos.
4. los archivos, registros, bancos o bases de datos relativos a la prevención, persecución, sanción de los delitos, ejecución de sanciones penales, o a los datos correspondientes a los cuerpos de las fuerzas armadas y de seguridad pública o a sus integrantes, serán reservados, y se actualizarán, complementarán, corregirán, suspenderán, o cancelarán en los términos de sus propias disposiciones, sin que les resulte aplicable el régimen general de esta ley.
Artículo 3.
3. Los datos sensibles y los relativos a condenas y sanciones penales, sólo se pueden tratar automatizadamente para su acceso al público o a institución no competente con el permiso previo del interesado y siempre que el responsable del archivo, registro, base o banco de datos garantice, a satisfacción del Instituto Federal de Protección de Datos Personales, la disociación de datos.
Artículo 4.
II. Datos sensibles: Aquellos que revelan el origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual;
III. Archivo, registro, base o banco de datos: Conjunto de datos personales organizados, tratados automatizadamente;
IV. Tratamiento de datos: Operaciones y procedimientos sistemáticos que tienen por objeto recolectar, guardar, ordenar, modificar, relacionar, cancelar y cualquiera otra que implique el procesamiento de datos, o su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias;
V. Responsable del archivo, registro, base o banco de datos: Persona física o jurídica que ostenta la titularidad del archivo, registro, banco o base de datos;
VI. Datos informáticos: Los datos personales tratados automatizadamente;
VII. Usuario de datos: Toda persona física, jurídica, pública o privada que trata datos personales de manera voluntaria, ya sea en archivos, registros, bancos de datos propios o a través de conexión con los mismos;
VIII. Disociación de datos: Todo tratamiento de datos personales que impida asociarlos a persona determinada o determinable; y,
IX. Interesado: La persona física o jurídica a la que conciernen los datos personales.
Artículo 5.
3. Los datos sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines compatibles con estos.
4. Los datos objeto de tratamiento deben ser exactos y actualizados de manera que sean congruentes con los concernientes al interesado.
5. Los datos no incluidos, incompletos, inexactos o que estén en desacuerdo con la realidad de los que corresponden a la persona que conciernen, deben ser incluidos, complementados, actualizados, rectificados o cancelados, según corresponda.
6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso por parte del interesado.
7. Los datos deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para los fines para los que fueron colectados.
Capítulo II
De los interesados y los responsables de los registros
Artículo 7.
II. Del carácter obligatorio o potestativo de su respuesta a las preguntas planteadas para la colecta de datos;
III. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;
IV. De la posibilidad de ejercitar los derechos de acceso, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan y de la forma y términos en que puede ejercitarlos; y,
V. De la identidad, dirección y domicilio del responsable del archivo, registro, base o banco de datos.
Artículo 8.
3. No se requiere el consentimiento del interesado, cuando los datos de carácter personal se colecten de fuentes de información de acceso público, cuando se recojan para el ejercicio de las funciones propias de entidades y organismos públicos en el ámbito de su competencia, ni cuando se refieran a personas vinculadas por una relación comercial, laboral, administrativa, contractual y sean necesarios para el mantenimiento de la relación o para el cumplimiento del contrato.
Artículo 9.
3. Queda prohibida la formación de archivos, registros, bases o bancos que revelen datos sensibles, salvo lo dispuesto en esta ley.
4. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por los órganos y organismos públicos correspondientes en la esfera de su competencia.
5. Queda prohibido a los responsables de los archivos, registros, bancos o bases de datos formular juicios de valor sobre los datos personales que traten automatizadamente.
Artículo 10.
3. El reglamento de esta ley determinará los requisitos y condiciones mínimas de seguridad y de organización, en función del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos.
Artículo 12.
Artículo 13.
3. La cesión no requiere el consentimiento del interesado, cuando:
I. La ley no lo exija;
II. La cesión se realice entre dependencias y organismos públicos en forma directa, en el ejercicio de sus atribuciones y en el ámbito de sus competencias;
III. Por razones de interés social, de seguridad pública o nacional, o salud pública; y,
IV. Se aplique un procedimiento de disociación de datos de manera que no se puedan atribuir a persona determinada o determinable.
4. El cesionario queda sujeto a las mismas obligaciones legales y reglamentadas del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el interesado.
Artículo 14.
I. Colaboración judicial internacional;
II. Intercambio de datos en materia de salud, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;
III. Transferencias bancarias o bursátiles, conforme a la legislación que le resulte aplicable;
IV. Cuando la transferencia se acuerde en un tratado, convenio o instrumento internacional vigente en el que el Estado Mexicano sea parte; y,
V. Cuando la transferencia tenga por objeto la cooperación internacional para la lucha contra el crimen organizado, el terrorismo, el narcotráfico y delitos contra la humanidad.
Artículo 15.
Artículo 16.
El informe se debe proporcionar dentro de los diez días hábiles posteriores a la recepción de la solicitud; vencido el plazo sin que se haya rendido el informe, el interesado puede promover la acción de protección de datos personales prevista en esta ley.
3. El derecho de información a que se refiere este artículo sólo se puede ejercer de manera gratuita a intervalos no menores de tres meses, salvo que el afectado acredite un interés legítimo, caso en el cual puede ejercerlo antes y cuantas veces sea necesario.
4. Para el caso de que el interesado directo haya fallecido, el representante legítimo de la sucesión pueden solicitar y recibir la información a que se refiere este artículo, previa la acreditación de su carácter.
Artículo 18.
3. Los informes se suministrarán, dependiendo de la capacidad técnica del responsable del archivo, registro, base o banco de datos: impresos en papel, en medios electrónicos, ópticos o cualquiera otro que determine el interesado.
Artículo 19.
3. Si el titular del archivo, registro, base o banco de datos no cumple con la obligación que le impone el inciso anterior, el interesado puede ejercitar la acción de protección de datos o habeas data prevista en esta ley.
4. En el caso de que la información se haya cedido o transferido, el responsable del archivo, registro, base o banco de datos, sin cargo alguno para el interesado, debe comunicar la inclusión, complementación, rectificación, actualización o cancelación de los datos al cesionario, dentro de los tres días hábiles siguientes al en que se haya resuelto el tratamiento correspondiente.
5. La cancelación de los datos no procede por razones de interés social, de seguridad pública o nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la ley.
6. Durante el procedimiento que se siga para complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales que conciernan al interesado, el titular del archivo, registro, base o banco de datos, debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto.
7. Los datos se deben conservar por el tiempo que determinen la ley o las disposiciones contractuales vigentes entre las partes.
Artículo 20.
Artículo 21.
I. El nombre, dirección y domicilio del responsable;
II. En el caso de personas jurídicas de derecho privado, nombre del representante legal, integrantes del consejo de administración, objeto de la sociedad o asociación, razón social, fecha de constitución y registro federal de causantes;
III. Características y finalidad del archivo;
IV. Categorías de datos personales que se han de colectar y tratar;
V. Forma, tiempo y lugar de recolección y actualización de los datos;
VI. Destino de los datos y personas físicas o jurídicas a las que se pueden transmitir o se les puede permitir la consulta;
VII. Procedimiento para relacionar la información colectada y tratada;
VIII. Metodologías y procedimientos técnicos para asegurar la información colectada y tratada;
IX. Nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos;
X. Tiempo durante el cual se han de conservar los datos; y,
XI. Formas y procedimientos por los cuales las personas pueden acceder a los datos personales que les conciernen, o por los cuales se puede solicitar su inclusión, complementación, actualización, rectificación, reserva y cancelación.
3. Cualquier modificación a la información contenida en el registro debe ser comunicada por el responsable dentro de los tres días hábiles siguientes al en que haya tenido lugar.
4. El incumplimiento de las normas anticipadas dará lugar a las sanciones previstas en esta Ley.
Artículo 22.
I. El órgano u organismo público responsable del archivo, registro, base o banco de datos, y dependencia o entidad pública de la que dependa, en su caso;
II. Estructura básica, características y finalidad del archivo;
III. Personas de las que se pretende colectar datos y el carácter potestativo u obligatorio del suministro de la información;
IV. Categorías de datos personales que se han de colectar y tratar;
V. Forma, tiempo y lugar de recolección y actualización de los datos;
VI. Cesiones, transferencias o interconexiones previstas; y,
VII. Organos u organismos públicos ante los que el interesado puede solicitar los derechos de inclusión, complementación, actualización, rectificación, reserva, suspensión o cancelación.
3. En la resolución o disposición que determine la cancelación de archivos, registros, bases o bancos de datos personales, se debe precisar el destino de los mismos o las medidas tomadas para su destrucción.
Artículo 23.
3. Los datos personales con fines de seguridad pública o policiales se cancelarán luego que se haya cumplido el objeto para el cual fueron colectados y tratados o ya no sean útiles para el mismo objeto.
Artículo 24.
Artículo 26.
3. Los titulares de los archivos, registros, bancos o bases de los datos referidos en los incisos anteriores, dentro de los treinta días siguientes a su registro, deben comunicar a los interesados los datos que se hayan incluido y el derecho que les asiste para recabar informe total de ellos, en los términos establecidos en la ley.
4. En caso de que el interesado lo solicite, el responsable del archivo le informará los datos que le conciernen, las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos tres meses y el nombre, domicilio y dirección del cesionario.
5. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo se extinga la obligación, debiéndose hacer constar dicho hecho.
6. La prestación de servicios de información crediticia no requerirá el previo consentimiento del interesado, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.
7. Los responsables de los archivos, registros, bancos o bases de datos rendirán informes sobre la solvencia patrimonial y de crédito de los interesados sin calificar la viabilidad de éstos para ser sujetos de obligaciones pecuniarias.
Artículo 27.
3. El interesado tiene en todo tiempo el derecho de conocer el origen de sus datos personales, el destino de los mismos, y a que se cancelen, bastando en este caso su simple solicitud.
Artículo 28.
Capítulo III
Del Instituto Federal de Protección de Datos Personales
Artículo 29.
1. El Instituto Federal de Protección de Datos Personales es el organismo público descentralizado de la administración pública federal, con personalidad jurídica y patrimonio propios que tiene por objeto el control de los responsables de los archivos, registros, bases o bancos de datos personales y la protección de éstos.
II. Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia;
III. Llevar un registro actualizado y completo de los archivos, registros, bases o bancos de datos personales;
IV. Vigilar que las normas sobre integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los archivos, registros, bases o bancos de datos correspondientes;
Con ese objeto, podrá solicitar a la autoridad judicial competente autorización para inspeccionar los inmuebles, equipos, herramientas y programas de captura y tratamiento de datos;
V. Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los archivos, registros, bases o bancos de datos personales, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información;
VI. Imponer las sanciones administrativas que correspondan a los infractores de esta ley;
VII. Formular y presentar las denuncias y querellas por violaciones a lo dispuesto en esta ley; y,
VIII. Cerciorarse de que los archivos, registros, bases o bancos de datos personales destinados a suministrar informes cuenten con los requisitos necesarios para que proceda su inscripción en el Registro de Archivos, Registros, Bases o Bancos de Datos.
Artículo 31.
1. El Director del Instituto será nombrado y removido libremente por el Titular del Poder Ejecutivo Federal.
Artículo 32.
II. Tener 30 años cumplidos al momento de ser designado;
III. Tener título oficial de profesión afín al objeto del Instituto;
IV. Haberse destacado por sus estudios y/o aplicaciones en el ámbito de la informática o de las nuevas tecnologías de la información; y,
V. No haber sido condenado por la comisión de delito intencional.
Artículo 33.
II. Dirección General;
III. Consejo Consultivo;
IV. Dirección del Registro de Archivos, Registros, Bases o Banco de Datos;
V. Dirección Seguridad y Protección de Datos;
VI. Dirección de Programas y Comunicaciones, y,
VII. Dirección Jurídica.
2. El Instituto contará con el personal profesional, técnico y administrativo que autorice el presupuesto.
Artículo 34.
II. El Secretario de Gobernación, como Secretario;
III. El Secretario de Energía, como vocal;
IV. El Secretario de Educación Pública, como vocal;
V. El Secretario de Hacienda y Crédito Público, como vocal;
VI. El Secretario de Economía, como vocal;
VII. Un representante de la Cámara de Diputados, como vocal;
VIII. Un representante de la Cámara de Senadores, como vocal;
IX. Un representante del Poder Judicial Federal, como vocal; y,
X. Un representante del Consejo Nacional de Ciencia y Tecnología, como vocal.
2. La Junta de Gobierno se considera válidamente constituida con la asistencia de la mitad más uno de sus integrantes.
3. Las decisiones se tomarán por mayoría de votos de los integrantes presentes y, en caso de empate, el Presidente tiene voto de calidad.
Artículo 35.
1. Compete a la Junta de Gobierno:
III. Supervisar y dar seguimiento a los trabajos realizados por el Instituto;
IV. Aprobar el informe semestral que le presente el Director General;
V. Emitir las recomendaciones e instrucciones que estime necesarias para el correcto funcionamiento del Instituto;
VI. Nombrar a los directores de las diversas áreas del Instituto que le proponga el Director General, removiéndolos en su caso; y,
VII. Las demás que le correspondan conforme al derecho vigente.
Artículo 36.
Artículo 37.
II. Un representante designado por los titulares de archivos, registros, bases o bancos de datos reconocidos oficialmente;
III. Un representante de la Comisión Nacional de Derechos Humanos; y,
IV. Un representante de la Procuraduría General de la República.
2. Los integrantes del Consejo Consultivo durarán en su encargo tres años, y será honorífico.
3. El Consejo Consultivo es el órgano de asesoría de la Junta de Gobierno y de la Dirección General del Instituto.
4. El funcionamiento del Consejo Consultivo se determinará en el Reglamento de esta ley.
Artículo 38.
Capítulo IV
De las sanciones
Artículo 39.
II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,
III. Cualquiera otra de carácter puramente formal o documental que no pueda ser catalogada como grave.
Artículo 40.
II. Colectar o tratar automatizadamente datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del interesado o de quien legítimamente puede otorgarlo;
III. Colectar, tratar automatizadamente o administrar datos de carácter personal con violación de los principios que rigen esta ley o de las disposiciones que sobre protección y seguridad de datos sean vigentes;
IV. Impedir u obstaculizar el ejercicio del derecho de acceso, así como negar injustificadamente la información solicitada;
V. Violentar el secreto profesional que debe guardar por disposición de esta ley;
VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad requeridas por las disposiciones aplicables; y,
VII. Obstruir las inspecciones que realice el Instituto.
Artículo 41.
II. Suspensión de operaciones;
III. Multa hasta por el equivalente de 1 a 100 días de salario mínimo vigente en el Distrito Federal al momento de comisión de la infracción; y,
IV. Clausura o cancelación del archivo, registro o banco de datos.
2. En el caso de infracciones leves a esta ley, se aplicarán al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones de la I a la III de este artículo.
3. En el caso de infracciones graves, se impondrán al infractor dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones III y IV de este artículo.
Capítulo V
De la acción de protección de datos personales
Artículo 42.
II. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata, para exigir su rectificación, actualización, inclusión, complementación, reserva, suspensión o cancelación.
Artículo 43.
3. En el proceso podrá intervenir en forma coadyuvante el Defensor Público Federal.
Artículo 44.
I. Cuando se interponga en contra de los responsables de archivos, registros, bancos o bases de datos públicos de órganos u organismos públicos federales; y,
II. Cuando los archivos, bases o bancos de datos de datos de carácter público o privado se encuentren interconectados en redes interestatales, nacionales o internacionales.
Artículo 46.
II. El nombre del actor y del demandado;
III. El objeto de la acción;
IV. Con la mayor precisión que sea posible, el nombre y domicilio del archivo, registro, banco o base de datos y, en su caso, el nombre y responsable del usuario del mismo;
V. En el caso de archivos, registros, bancos o bases de datos públicos, se procurará establecer el organismo estatal del cual dependen;
VI. los hechos en que el actor funde su petición, narrando sucintamente, con claridad y precisión, los motivos en los que apoya su acción, y por los cuales considera que los registros, archivos, bancos o bases de datos son omisos, incompletos, incorrectos, falsos, inexactos, o por los cuales considera que los datos deben reservarse, suspenderse, o cancelarse y destruirse;
VII. El interesado o quien promueva en su nombre y representación pueden solicitar que se asiente mientras dure el proceso que la información cuestionada se encuentra sujeta a proceso judicial;
VIII. El juez puede disponer de oficio, por causa fundada y motivada, la suspensión o reserva de los datos personales;
IX. El fundamento de derecho; y,
X. Lo que se pida, designándolo con toda exactitud, en términos claros y precisos.
Artículo 47.
Artículo 48.
1. De la demanda admitida, se correrá traslado a la persona contra la que se proponga, emplazándola para que la conteste dentro de los tres días siguientes.
Artículo 49.
Artículo 51.
3. La improcedencia de la acción no presume responsabilidad alguna en la que pudiera incurrir el demandante.
4. La sentencia, cualquiera que sea el sentido en que se pronuncie, se comunicará inmediatamente al Instituto Federal de Protección de Datos Personales, con el objeto de que lleve un registro al efecto.
Artículo 53.
Artículo primero. La presente ley entrará en vigor a los 180 días siguientes al de su publicación en el Diario Oficial de la Federación.
Artículo segundo. El Ejecutivo Federal establecerá el Instituto Federal de Protección de Datos Personales dentro de los 30 días siguientes a la entrada en vigor de la presente ley.
Artículo tercero. El Ejecutivo Federal reglamentará esta ley dentro de los 180 días siguientes a su publicación.
Artículo cuarto. El Ejecutivo Federal determinará en el reglamento de esta ley la forma, términos y plazos en que los archivos, registros, bancos o bases de datos destinados a otorgar informes deben registrarse en el organismo a que se refiere el artículo 33, fracción IV.
Artículo quinto. Se derogan las disposiciones legales, reglamentarias y administrativas que se opongan a lo dispuesto en esta ley.
México Distrito Federal, enero 31 de 2001.
Túrnese a las Comisiones de Puntos Constitucionales y de Estudios legislativos de la Cámara de Senadores y Publíquese en la Gaceta Parlamentaria y en el Diario de los Debates. Febrero 14 de 2001.
Notas:
1 Habeas data significa, en términos generales, un recurso pronto y expedito para lograr que un dato que obre en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido, suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros, archivos, bancos o bases de datos, además de que se pueda acceder a registros o bancos de datos.