Archivos de la etiqueta: Protección de datos

25Ene/24

Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023

Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales (DO L 191 de 28.7.2023).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 53 y 62,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) Los servicios basados en la red pueden prestarse desde cualquier lugar y no requieren infraestructura física, instalaciones ni personal en el país en que se ofrece el servicio en cuestión, ni en el mercado interior. Como consecuencia de ello, puede resultar difícil aplicar y hacer cumplir las obligaciones establecidas en el Derecho nacional y de la Unión dirigidas a los prestadores de servicios afectados, y en particular la obligación de cumplir una orden o una resolución de una autoridad judicial. Este es el caso, en particular, del Derecho penal, en que las autoridades de los Estados miembros se enfrentan a dificultades para notificar, garantizar el respeto y hacer cumplir sus decisiones, sobre todo cuando los servicios en cuestión se prestan desde un lugar situado fuera de su territorio. En este contexto, los Estados miembros han adoptado una serie de medidas dispares para aplicar y hacer cumplir su legislación de forma más efectiva. Esto incluye medidas para dirigirse a los prestadores de servicios a fin de obtener pruebas electrónicas pertinentes a efectos de un proceso penal. A tal fin, algunos Estados miembros han adoptado, o están estudiando adoptar, legislación que establezca la representación legal obligatoria en su propio territorio, para una serie de prestadores de servicios que ofrezcan servicios en dicho territorio. Tales requisitos crean obstáculos a la libre prestación de servicios en el mercado interior.

(2) Existe un riesgo de que, a falta de un planteamiento a escala de la Unión, los Estados miembros traten de subsanar las deficiencias existentes en cuanto a recabar pruebas electrónicas en procesos penales, imponiendo obligaciones nacionales dispares. Esa disparidad de obligaciones nacionales crearía mayores obstáculos a la libre prestación de servicios en el mercado interior.

(3) La falta de un planteamiento a escala de la Unión se traduce en inseguridad jurídica que afecta tanto a los prestadores de servicios como a las autoridades nacionales. Se aplican obligaciones dispares que pueden entrar en conflicto a los prestadores de servicios establecidos en distintos Estados miembros o que ofrecen servicios en ellos, lo que se traduce en que esos prestadores de servicios estén sometidos a diferentes regímenes de sanciones en caso de infracción. Esas divergencias en el marco para procesos penales tenderán a ampliarse, dada la creciente importancia de los servicios de la sociedad de la información y la comunicación en nuestras sociedades y vidas cotidianas. Dichas divergencias no solo constituyen un obstáculo para el buen funcionamiento del mercado interior, sino que también suponen problemas para el establecimiento y el buen funcionamiento del espacio de libertad, seguridad y justicia de la Unión.

(4) Para evitar divergencias en el marco jurídico y garantizar que las empresas que operan en el mercado interior estén sujetas a obligaciones idénticas o similares, la Unión ha adoptado una serie de actos jurídicos en ámbitos relacionados, como la protección de datos, a saber, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y la Directiva 2002/58/CE del Parlamento y del Consejo (4). Con el fin de aumentar el nivel de protección de los interesados, el Reglamento (UE) 2016/679 prevé la designación de un representante legal en la Unión por los responsables o encargados del tratamiento que no estén establecidos en la Unión, pero que ofrezcan productos o servicios a los interesados en el territorio de la Unión o que controlen su conducta en caso de que esta conducta tenga lugar en la Unión, a menos que el tratamiento de datos sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento, o si el responsable o el encargado del tratamiento es una autoridad u organismo público.

(5) Al establecer normas armonizadas sobre la designación de establecimientos designados y de representantes legales de determinados prestadores de servicios en la Unión para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales, deben suprimirse los obstáculos existentes a la libre prestación de servicios y debe evitarse la imposición de enfoques nacionales divergentes a este respecto en el futuro. Deben establecerse, por lo tanto, condiciones de competencia equitativas para los prestadores de servicios. Dependiendo de si los prestadores de servicios están o no establecidos en la Unión, los Estados miembros deben velar por que los prestadores de servicios designen un establecimiento designado o un representante legal. Estas normas armonizadas sobre la designación de los establecimientos designados y de representantes legales no deben afectar a las obligaciones que incumban a los prestadores de servicios en virtud de otros actos legislativos de la Unión. Asimismo, debe facilitarse una aplicación más efectiva de las normas penales en el espacio de libertad, seguridad y justicia de la Unión.

(6) Los establecimientos designados y los representantes legales previstos en la presente Directiva deben servir de destinatarios de las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo (5), de la Directiva 2014/41/UE del Parlamento Europeo y del Consejo (6) y del Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (7), también cuando dichas resoluciones y órdenes se transmitan en forma de certificado.

El recurso al establecimiento designado o al representante legal debe ser conforme a los procedimientos establecidos en los instrumentos y la legislación aplicables a los procedimientos judiciales, también cuando los instrumentos permitan la notificación directa de órdenes en situaciones transfronterizas al establecimiento designado o al representante legal del prestador de servicios, o se basen en la cooperación entre las autoridades judiciales competentes. Las autoridades competentes del Estado miembro en el que el establecimiento designado esté establecido o el representante legal resida deben actuar de conformidad con el papel que se les asigne en el instrumento respectivo en caso de que se prevea una participación. Los Estados miembros también deben poder dirigir las resoluciones y órdenes con el fin de recabar pruebas electrónicas sobre la base del Derecho nacional a una persona física o jurídica que actúe como representante legal o como establecimiento designado de un prestador de servicios en su territorio.

(7) Los Estados miembros deben velar por que los prestadores de servicios que ofrezcan servicios en la Unión a 18 de febrero de 2026 tengan la obligación de designar al menos un establecimiento designado o un representante legal a más tardar el 18 de agosto de 2026 y por que los prestadores de servicios que comiencen a ofrecer servicios en la Unión después de esa fecha designen al menos un establecimiento designado o un representante legal en el plazo de seis meses a partir de la fecha en que comiencen a ofrecer servicios en la Unión. Sin perjuicio de las garantías de protección de datos, dicho establecimiento designado o representante legal podría ser compartido entre varios prestadores de servicios, en particular por prestadores de servicios que sean pequeñas o medianas empresas.

(8) La obligación de designar un establecimiento designado o un representante legal debe aplicarse a los prestadores que ofrezcan servicios en la Unión, lo que significa en uno o más Estados miembros. La presente Directiva no debe aplicarse a las situaciones en las que un prestador de servicios esté establecido en el territorio de un Estado miembro y ofrezca servicios exclusivamente en el territorio de dicho Estado miembro.

(9) A efectos de recabar pruebas electrónicas en procesos penales, los Estados miembros deben poder seguir dirigiéndose a los prestadores de servicios establecidos en su territorio para situaciones puramente internas de conformidad con el Derecho de la Unión y su Derecho nacional respectivo. No obstante las posibilidades que actualmente ofrece el Derecho nacional para dirigirse a los prestadores de servicios en su propio territorio, los Estados miembros no deben eludir los principios subyacentes a la presente Directiva o al Reglamento (UE) 2023/1543.

(10) La determinación de si un prestador ofrece servicios en la Unión requiere una valoración de si el prestador de servicios permite a las personas físicas o jurídicas que se encuentren en uno o más Estados miembros utilizar sus servicios. No obstante, la mera accesibilidad de una interfaz en línea en la Unión (como, por ejemplo, la accesibilidad de una página web o una dirección de correo electrónico u otros datos de contacto de un prestador de servicios o de un intermediario), tomada aisladamente, debe considerarse insuficiente para determinar que un prestador de servicios ofrece servicios en la Unión en el sentido de la presente Directiva.

(11) La determinación de si un prestador de servicios ofrece servicios en la Unión requiere, además de valorar si el prestador permite a las personas físicas o jurídicas que se encuentren en uno o más Estados miembros utilizar sus servicios, establecer si existe una conexión sustancial con la Unión. Debe considerarse que existe tal conexión sustancial con la Unión cuando el prestador de servicios tenga un establecimiento en la Unión. A falta de tal establecimiento, el criterio de la conexión sustancial debe basarse en criterios fácticos específicos como la existencia de un número significativo de usuarios en uno o más Estados miembros, o la orientación de las actividades hacia uno o más Estados miembros. La orientación de las actividades hacia uno o más Estados miembros ha de determinarse en función de todas las circunstancias pertinentes, incluidos factores como el uso de una lengua o una moneda utilizada generalmente en ese Estado miembro, o la posibilidad de encargar productos o servicios.

La orientación de las actividades hacia un Estado miembro también puede derivarse de la disponibilidad de una aplicación para móvil en la tienda de aplicaciones nacional correspondiente, de la existencia de publicidad local o publicidad en la lengua comúnmente utilizada en dicho Estado miembro, o de una gestión de las relaciones con los clientes que incluya, por ejemplo, la prestación de servicios a los clientes en la lengua comúnmente utilizada en ese Estado miembro. También debe considerarse que existe una conexión sustancial cuando un prestador de servicios dirige su actividad hacia uno o varios Estados miembros con arreglo a los establecido en el Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo (8). Por otro lado, la prestación de un servicio con el fin de un mero cumplimiento de la prohibición de discriminación establecida en el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo (9) no debe, sin motivos adicionales, considerarse que dirige u orienta las actividades hacia un territorio determinado de la Unión. Las mismas consideraciones deben aplicarse a la hora de determinar si un prestador de servicios ofrece sus servicios en el territorio de un Estado miembro.

(12) En la cooperación entre los Estados miembros, al recabar pruebas en procesos penales, se aplican instrumentos distintos que entran en el ámbito de aplicación del título V, capítulo 4, del Tratado de Funcionamiento de la Unión Europea. Como consecuencia de la geometría variable que existe en el espacio de libertad, seguridad y justicia de la Unión, es preciso asegurar que la presente Directiva no facilite la creación de nuevas disparidades u obstáculos a la prestación de servicios en el mercado interior al permitir que los prestadores de servicios que ofrecen servicios en el territorio de los Estados miembros designen establecimientos o representantes legales en los Estados miembros que no participan en los instrumentos jurídicos pertinentes. Por tanto, debe designarse al menos un establecimiento designado o un representante legal en un Estado miembro que participe en los instrumentos jurídicos pertinentes de la Unión, para evitar el riesgo de que se debilite la efectividad de la designación a que se refiere la presente Directiva y para hacer uso de las sinergias de contar con un establecimiento designado o un representante legal para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, también en virtud del Reglamento (UE) 2023/1543, la Directiva 2014/41/UE y el Convenio celebrado por el Consejo de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión. Además, la designación de un establecimiento designado o de un representante legal, que puede servir también para garantizar el cumplimiento de las obligaciones jurídicas nacionales, permitiría beneficiarse de las sinergias de contar con un punto de acceso claro para dirigirse a los prestadores de servicios a efectos de recabar pruebas en procesos penales.

(13) Los prestadores de servicios deben poder tener la libertad de elegir en qué Estado miembro designan a su establecimiento designado o, en su caso, a su representante legal, y los Estados miembros no deben poder limitar tal libertad de elección, por ejemplo, imponiendo la obligación de designar el establecimiento designado o al representante legal en su territorio. No obstante, la presente Directiva debe establecer también determinadas restricciones con respecto a esa libertad de elección de los prestadores de servicios, en particular en lo que se refiere al hecho de que el establecimiento designado deba estar establecido, o en su caso, el representante legal deba residir, en un Estado miembro donde el prestador preste servicios o esté establecido, así como establecer una obligación de designar un establecimiento designado o un representante legal en uno de los Estados miembros que participen en un instrumento jurídico mencionado en la presente Directiva. No debe considerarse que la mera designación de un representante legal constituya un establecimiento del prestador de servicios.

(14) Los prestadores de servicios más importantes a efectos de obtener pruebas en procesos penales son los proveedores de servicios de comunicaciones electrónicas y los prestadores de servicios de la sociedad de la información específicos que facilitan la interacción entre usuarios. Así pues, la presente Directiva debe aplicarse a ambos grupos. Los servicios de comunicaciones electrónicas se definen en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (10) e incluyen servicios de comunicaciones interpersonales tales como los servicios de voz sobre IP, servicios de mensajería instantánea y servicios de correo electrónico. La presente Directiva debe aplicarse también a prestadores de servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (11) que no puedan calificarse como proveedores de servicios de comunicaciones electrónicas, pero que ofrezcan a sus usuarios la capacidad de comunicarse entre sí o les ofrezcan servicios que puedan utilizar para almacenar o tratar datos de otro modo en su nombre. Ello estaría en consonancia con el Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE nº 185), hecho en Budapest el 23 de noviembre de 2001, también denominado Convenio de Budapest. El tratamiento de datos debe entenderse en un sentido técnico, como creación o manipulación de datos, es decir, operaciones técnicas destinadas a producir o modificar datos mediante la capacidad de procesamiento de un ordenador.

Las categorías de prestadores de servicios a los que se aplica la presente Directiva han de incluir, por ejemplo, los mercados en línea que proporcionan a los consumidores y las empresas la capacidad de comunicarse entre sí y otros servicios de alojamiento de datos, también en los casos en que el servicio se presta a través de la computación en nube, así como las plataformas de juegos y de juegos de apuestas en línea. Cuando un prestador de servicios de la sociedad de la información no proporcione a sus usuarios la capacidad de comunicarse entre sí, sino únicamente con el prestador de servicios, o no proporcione la capacidad de almacenar o tratar datos de otro modo, o cuando el almacenamiento de datos no sea un componente definitorio, esto es, una parte esencial, del servicio prestado a los usuarios, como los servicios jurídicos, de arquitectura, de ingeniería y de contabilidad prestados en línea a distancia, no debe entrar dentro del alcance de la definición de «prestador de servicios» establecida en la presente Directiva, aun cuando los servicios prestados por dicho prestador de servicios sean servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535.

(15) Los prestadores de servicios de infraestructura de internet relacionados con la asignación de nombres y números, como los registradores y los registros de nombres de dominio y los prestadores de servicios de privacidad y representación, o los registros regionales de direcciones de protocolo de internet (direcciones IP), revisten especial importancia en lo que respecta a la identificación de quienes están detrás de las páginas web maliciosas o comprometidas. Estos prestadores disponen de datos que podrían hacer posible la identificación de una persona física o jurídica responsable de un sitio web utilizado en actividades delictivas o la identificación de la víctima de una actividad delictiva.

(16) Los Estados miembros deben velar por que los prestadores de servicios establecidos en su territorio o que ofrezcan servicios en él, doten a sus establecimientos designados y a sus representantes legales de las competencias y los recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, recibidas de cualquier Estado miembro. Los Estados miembros deben verificar también que los establecimientos designados o los representantes legales que residan en su territorio hayan recibido de los prestadores de servicios las competencias y recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, recibidas de cualquier Estado miembro, y que cooperen con las autoridades competentes en la recepción de dichas resoluciones y órdenes, de conformidad con el marco jurídico aplicable. La ausencia de dichas medidas o deficiencias en dichas medidas no debe servir para justificar el incumplimiento de las resoluciones u órdenes comprendidas en el ámbito de aplicación de la presente Directiva.

Además, los prestadores de servicios no deben poder justificar su incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban resoluciones u órdenes comprendidas en el ámbito de aplicación de la presente Directiva por la falta de procedimientos internos, o por su ineficacia, ya que son responsables de proporcionar los recursos y competencias necesarios para garantizar el cumplimiento de dichas resoluciones y órdenes nacionales. Los establecimientos designados o los representantes legales tampoco deben poder justificar tal incumplimiento alegando, por ejemplo, que no están facultados para entregar datos. A tal fin, los Estados miembros deben velar por que tanto el establecimiento designado o el representante legal como el prestador de servicios puedan ser considerados responsables solidariamente del incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva que tengan cabida dentro del ámbito de aplicación de la presente Directiva, con el fin de que cada uno de ellos pueda ser sancionado por el incumplimiento de cualquiera de ellos. En particular, el prestador de servicios o el establecimiento designado, o el representante legal, en su caso, no debe poder utilizar la falta de procedimientos internos adecuados entre el prestador de servicios y el establecimiento designado o el representante legal como justificación del incumplimiento de esas obligaciones. La responsabilidad solidaria no debe ser aplicable a las acciones u omisiones del prestador de servicios o del establecimiento designado, o del representante legal, en su caso, que constituyan una infracción penal en el Estado miembro que aplique las sanciones.

(17) Los Estados miembros deben velar por que cada prestador de servicios establecido o que ofrezca servicios en su territorio notifique por escrito a la autoridad central, designada con arreglo a la presente Directiva, el Estado miembro en el que esté establecido su establecimiento designado o en el que resida su representante legal, los datos de contacto de dicho establecimiento designado o representante legal y cualquier cambio al respecto. La notificación también debe proporcionar información sobre las lenguas en las que se puede dirigir al establecimiento designado o al representante legal, que deben incluir una o más de las lenguas oficiales tal como se establezca en el Derecho nacional del Estado miembro en el que el establecimiento designado esté establecido o el representante legal resida, pudiéndose incluir también otras lenguas oficiales de la Unión, como por ejemplo la lengua del Estado miembro donde se encuentre su sede. Cuando un prestador de servicios designe varios establecimientos designados o varios representantes legales de conformidad con la presente Directiva, los Estados miembros deben velar por que dicho prestador de servicios indique, para cada establecimiento designado o representante legal, el ámbito territorial exacto de su designación. Debe incluirse el territorio de todos los Estados miembros que participan en los instrumentos incluidos en el ámbito de aplicación de la presente Directiva. Los Estados miembros deben velar por que sus respectivas autoridades competentes remitan todas sus resoluciones y órdenes con arreglo a la presente Directiva al establecimiento designado o al representante legal del prestador de servicios que se indique. Los Estados miembros deben velar por que la información que se les notifique de conformidad con la presente Directiva esté a disposición del público en una página web específica de la Red Judicial Europea en materia penal, al objeto de facilitar la coordinación entre los Estados miembros y el recurso al establecimiento designado o al representante legal por las autoridades de otro Estado miembro. Los Estados miembros deben velar por que dicha información se actualice periódicamente. También debe ser posible seguir difundiendo dicha información para facilitar el acceso a ella por parte de las autoridades competentes, por ejemplo a través de sitios intranet o foros y plataformas específicos.

(18) Los Estados miembros deben establecer el régimen de sanciones aplicables a cualquier infracción de las disposiciones nacionales adoptadas al amparo de la presente Directiva y adoptar todas las medidas necesarias para garantizar su ejecución. Tales sanciones deben ser efectivas, proporcionadas y disuasorias. Los Estados miembros deben comunicar a la Comisión el régimen establecido y las medidas adoptadas, a más tardar en la fecha fijada en la presente Directiva, y le deben notificar sin demora toda modificación posterior. Los Estados miembros deben informar asimismo a la Comisión con una periodicidad anual acerca de los prestadores de servicios que incurran en incumplimiento, de las medidas de ejecución adoptadas al respecto y de las sanciones impuestas. En ningún caso las sanciones deben dar lugar a una prohibición, permanente o temporal, de la prestación de servicios. Los Estados miembros deben coordinar sus medidas de ejecución cuando un prestador ofrezca servicios en varios Estados miembros. Las autoridades centrales deben coordinarse para garantizar un planteamiento coherente y proporcionado. La Comisión debe facilitar dicha coordinación en caso necesario y debe ser informada, en toda circunstancia, de los casos de infracción. La presente Directiva no regula las disposiciones contractuales para la transferencia o traslado de las consecuencias financieras, entre prestadores de servicios, establecimientos designados y representantes legales, de las sanciones que se les impongan.

(19) Al determinar las sanciones correspondientes aplicables a las infracciones de los prestadores de servicios, las autoridades competentes deben tener en cuenta todas las circunstancias pertinentes, como por ejemplo la capacidad financiera del prestador de servicios, la naturaleza, la gravedad y la duración de la infracción, si se ha cometido intencionadamente o por negligencia y si el prestador de servicios ha sido considerado responsable de infracciones similares previas. A este respecto, debe prestarse especial atención a las microempresas.

(20) La presente Directiva se entiende sin perjuicio de las competencias de las autoridades nacionales en procedimientos administrativos o civiles, también cuando dichos procedimientos puedan dar lugar a sanciones.

(21) Con el fin de garantizar que la presente Directiva se aplica de una manera coherente, deben establecerse mecanismos adicionales de coordinación entre Estados miembros. A tal fin, los Estados miembros deben designar una o más autoridades centrales que puedan facilitar a las autoridades centrales de los demás Estados miembros información y asistencia en la aplicación de la presente Directiva, en particular cuando se trate de medidas de ejecución en virtud de la presente Directiva. Ese mecanismo de coordinación debe garantizar que se informe a los Estados miembros interesados de la intención de un Estado miembro de llevar a cabo una medida de ejecución. Además, los Estados miembros deben garantizar que las autoridades centrales puedan facilitarse cualquier información pertinente y asistencia en estas circunstancias, y cooperen entre ellas cuando proceda. La cooperación entre autoridades centrales en el caso de una medida de ejecución podría implicar la coordinación de una medida de ejecución entre las autoridades competentes de distintos Estados miembros. Esa cooperación debe tener por objeto evitar conflictos de competencia positivos o negativos. Para la coordinación de una medida de ejecución, las autoridades centrales deben recurrir también a la participación de la Comisión cuando proceda. La obligación de esas autoridades de cooperar se debe entender sin perjuicio del derecho de cada Estado miembro a imponer sanciones a los prestadores de servicios que incumplan sus obligaciones conforme a la presente Directiva. La designación y publicación de información sobre las autoridades centrales facilitaría la notificación por parte de los prestadores de servicios de la designación y los datos de contacto de su establecimiento designado o de su representante legal al Estado miembro en el que su establecimiento designado esté establecido o su representante legal resida. A tal fin, los Estados miembros deben informar a la Comisión de su autoridad o autoridades centrales designadas, y la Comisión debe remitir una lista de autoridades centrales designadas a los Estados miembros y publicarla.

(22) Dado que el objetivo de la presente Directiva, a saber, eliminar los obstáculos a la libre prestación de servicios a efectos de recabar pruebas electrónicas en procesos penales, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a la naturaleza sin fronteras de tales servicios, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo.

(23) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (12), emitió su dictamen el 6 de noviembre de 2019 (13).

(24) La Comisión debe realizar una evaluación de la presente Directiva basada en los cinco criterios de eficiencia, eficacia, pertinencia, coherencia y valor añadido de la Unión, y esa evaluación debe servir de base para las evaluaciones de impacto de posibles nuevas medidas. La evaluación debe quedar finalizada a más tardar el 18 de agosto de 2029, a fin de permitir recabar datos suficientes sobre su aplicación práctica. La información debe recabarse periódicamente y con el fin de contribuir a la evaluación de la presente Directiva.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Artículo 1. Objeto y ámbito de aplicación

1.   La presente Directiva establece las normas relativas a la designación de establecimientos designados y de representantes legales de determinados prestadores de servicios que ofrezcan servicios en la Unión para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales.

2.   La presente Directiva se aplica a las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Reglamento (UE) 2023/1543, la Directiva 2014/41/UE y el Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión. La presente Directiva se aplica asimismo a las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Derecho nacional dirigidas por un Estado miembro a una persona física o jurídica que actúe como representante legal o como establecimiento designado de un prestador de servicios en el territorio de dicho Estado miembro.

3.   La presente Directiva se entiende sin perjuicio de las competencias atribuidas por el Derecho nacional y el Derecho de la Unión a las autoridades competentes para dirigirse a los prestadores de servicios establecidos en su territorio directamente, a efectos de recabar pruebas electrónicas en procesos penales.

4.   Los Estados miembros no impondrán a los prestadores de servicios obligaciones adicionales a las derivadas de la presente Directiva, en particular en lo que se refiere a la designación de establecimientos designados o de representantes legales, para los fines a que se refiere el apartado 1.

5.   La presente Directiva se aplica a los prestadores de servicios tal como se definen en el artículo 2, punto 1, que ofrezcan sus servicios en la Unión. No se aplica a los prestadores de servicios establecidos en el territorio de un único Estado miembro que ofrezcan servicios exclusivamente en el territorio de dicho Estado miembro.

Artículo 2. Definiciones

A los efectos de la presente Directiva, se entenderá por:

1) «prestador de servicios»: toda persona física o jurídica que presta uno o más de los tipos de servicios siguientes, con excepción de los servicios financieros a que se refiere el artículo 2, apartado 2, letra b), de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo (14):

a) servicios de comunicaciones electrónicas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2018/1972;

b) servicios de nombre de dominio de internet y de direcciones IP, tales como asignación de direcciones IP, registro de nombres de dominio, registrador de nombres de dominio y servicios de privacidad y representación relacionados con nombres de dominio;

c) otros servicios de la sociedad de la información a que se refiere el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535, que:

i) permitan a sus usuarios comunicarse entre sí, o

ii) hagan posible el tratamiento o el almacenamiento de datos en nombre de los usuarios a los que se presta el servicio, cuando el almacenamiento de datos sea un componente esencial del servicio prestado al usuario;

2) «ofrecer servicios en el territorio de un Estado miembro»:

a) permitir que personas físicas o jurídicas en un Estado miembro utilicen los servicios enumerados en el punto 1, y

b) tener una conexión sustancial basada en criterios fácticos específicos con el Estado miembro a que se refiere la letra a); debe considerarse que existe tal conexión sustancial cuando el prestador de servicios disponga de un establecimiento en dicho Estado miembro o, a falta de tal establecimiento, cuando exista un número significativo de usuarios en dicho Estado miembro, o se orienten actividades hacia dicho Estado miembro;

3) «ofrecer servicios en la Unión»:

a) permitir que personas físicas o jurídicas en un Estado miembro utilicen los servicios enumerados en el punto 1, y

b) tener una conexión sustancial basada en criterios fácticos específicos con el Estado miembro a que se refiere la letra a); debe considerarse que existe tal conexión sustancial cuando el prestador de servicios disponga de un establecimiento en un Estado miembro o, a falta de tal establecimiento, cuando exista un número significativo de usuarios en uno o más Estados miembros, o se orienten actividades hacia uno o más Estados miembros;

4) «establecimiento»: una entidad que ejerce efectivamente una actividad económica por tiempo indefinido a través de una infraestructura estable a partir de la cual se lleva a cabo el negocio de prestar servicios o se gestiona el negocio;

5) «establecimiento designado»: un establecimiento con personalidad jurídica designado por escrito por un prestador de servicios establecido en un Estado miembro que participe en un instrumento jurídico contemplado en el artículo 1, apartado 2, a los efectos contemplados en el artículo 1, apartado 1, y en el artículo 3, apartado 1;

6) «representante legal»: una persona física o jurídica designada por escrito por un prestador de servicios no establecido en un Estado miembro que participe en un instrumento jurídico contemplado en el artículo 1, apartado 2, a los efectos contemplados en el artículo 1, apartado 1, y en el artículo 3, apartado 1.

Artículo 3. Establecimientos designados y representantes legales

1.   Los Estados miembros velarán por que los prestadores de servicios que ofrezcan servicios en la Unión designen al menos un destinatario para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes que entren en el ámbito de aplicación establecido en el artículo 1, apartado 2 (en lo sucesivo, «resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2»), emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas en procesos penales, como sigue:

a) en el caso de los prestadores de servicios establecidos en la Unión con personalidad jurídica, los Estados miembros en los que estén establecidos velarán por que dichos prestadores de servicios designen el establecimiento designado o los establecimientos designados responsables de las actividades descritas en la parte introductoria del presente apartado;

b) en el caso de los prestadores de servicios que no estén establecidos en la Unión, con personalidad jurídica, los Estados miembros velarán por que tales prestadores de servicios que ofrezcan servicios en su territorio designen el representante o representantes legales responsables de las actividades descritas en la parte introductoria del presente apartado en los Estados miembros que participen en los instrumentos a que se refiere el artículo 1, apartado 2;

c) en el caso de los prestadores de servicios establecidos en Estados miembros que no participen en los instrumentos a que se refiere el artículo 1, apartado 2, los Estados miembros velarán por que dichos prestadores de servicios que ofrezcan servicios en su territorio designen el representante o representantes legales responsables de las actividades descritas en la parte introductoria del presente apartado en los Estados miembros que participen en dichos instrumentos.

2.   Los Estados miembros velarán por que los destinatarios a que se refiere el apartado 1:

a) estén establecidos o residan en un Estado miembro en el que los prestadores de servicios ofrezcan sus servicios, y

b) puedan ser objeto de procedimientos de ejecución.

3.   Los Estados miembros velarán por que las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, se dirijan al establecimiento designado o al representante legal designado a tal efecto de conformidad con el apartado 1.

4.   Los Estados miembros velarán por que los prestadores de servicios establecidos en su territorio o que ofrezcan servicios en él, doten a sus establecimientos designados y a sus representantes legales de las competencias y los recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, recibidas de un Estado miembro. Los Estados miembros verificarán también que los establecimientos designados establecidos en su territorio o los representantes legales que residan en él hayan recibido de los prestadores de servicios las competencias y recursos necesarios para cumplir dichas resoluciones y órdenes recibidas de un Estado miembro y que cooperen con las autoridades competentes en la recepción de dichas resoluciones y órdenes, de conformidad con el marco jurídico aplicable.

5.   Los Estados miembros velarán por que tanto el establecimiento designado o el representante legal como el prestador de servicios puedan ser considerados responsables solidariamente del incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, con el fin de que cada uno de ellos pueda ser sancionado por el incumplimiento de cualquiera de ellas. En particular, los Estados miembros velarán por que el prestador de servicios o el establecimiento designado, o el representante legal, en su caso, no pueda utilizar la falta de procedimientos internos adecuados entre el prestador de servicios y el establecimiento designado o el representante legal como justificación del incumplimiento de esas obligaciones. La responsabilidad solidaria no será aplicable a las acciones u omisiones del prestador de servicios, del establecimiento designado o del representante legal, en su caso, que constituyan una infracción penal en el Estado miembro que aplique las sanciones.

6.   Los Estados miembros velarán por que los prestadores que ofrezcan servicios en la Unión a 18 de febrero de 2026 tengan la obligación de designar establecimientos designados o representantes legales a más tardar el 18 de agosto de 2026 y los prestadores de servicios que empiecen a ofrecer servicios en la Unión después del18 de febrero de 2026 tengan la obligación de designar establecimientos designados o representantes legales en el plazo de seis meses a partir de la fecha en que comiencen a ofrecer servicios en la Unión.

Artículo 4. Notificaciones y lenguas

1.   Los Estados miembros velarán por que cada prestador de servicios establecido en su territorio o que ofrezca servicios en él notifique por escrito a la autoridad central, designada con arreglo al artículo 6, del Estado miembro en el que su establecimiento designado esté establecido o su representante legal resida, los datos de contacto de dicho establecimiento o representante legal y cualquier cambio al respecto.

2.   En la notificación a que se refiere el apartado 1 se indicarán la lengua o lenguas oficiales de la Unión, según lo dispuesto en el Reglamento nº 1 del Consejo (15), que pueden utilizarse para dirigirse al representante legal o al establecimiento designado. Esas lenguas incluirán una o más lenguas oficiales tal como se establezca en el Derecho nacional del Estado miembro en el que esté establecido el establecimiento designado o resida el representante legal.

3.   Cuando un prestador de servicios designe varios establecimientos designados o varios representantes legales de conformidad con el artículo 3, apartado 1, los Estados miembros velarán por que dicho prestador de servicios especifique, en la notificación a que se refiere el apartado 1 del presente artículo, el ámbito territorial exacto de la designación de dichos establecimientos designados o representantes legales. La notificación especificará la lengua o lenguas oficiales de la Unión o de los Estados miembros que pueden utilizarse para dirigirse a los establecimientos designados o al representante legal.

4.   Los Estados miembros velarán por que la información que se les notifique de conformidad con el presente artículo se publique en una página web específica de la Red Judicial Europea en materia penal. Los Estados miembros velarán por que esa información se actualice periódicamente. Esa información podrá difundirse para facilitar el acceso de las autoridades competentes.

Artículo 5. Sanciones

Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción de las disposiciones nacionales adoptadas al amparo de los artículos 3 y 4 y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar el 18 de febrero de 2026, y le notificarán sin demora toda modificación posterior. Los Estados miembros informarán asimismo a la Comisión con una periodicidad anual acerca de los prestadores de servicios que incurran en incumplimiento, de las medidas de ejecución adoptadas al respecto y de las sanciones impuestas.

Artículo 6. Autoridades centrales

1.   De conformidad con sus ordenamientos jurídicos, los Estados miembros designarán una o varias autoridades centrales para garantizar la aplicación de la presente Directiva de manera coherente y proporcionada.

2.   Los Estados miembros comunicarán a la Comisión la autoridad o autoridades centrales que designan con arreglo al apartado 1. La Comisión enviará a los Estados miembros una lista de las autoridades centrales designadas y la publicará.

3.   Los Estados miembros velarán por que sus autoridades centrales se coordinen y cooperen entre sí y, cuando proceda, con la Comisión, y por que las autoridades centrales se faciliten mutuamente toda la información y asistencia adecuadas para la aplicación de la presente Directiva de forma coherente y proporcionada. Tales coordinación, cooperación y suministro de información y asistencia comprenderán, en particular, las medidas de ejecución.

Artículo 7. Transposición

1.   Los Estados miembros pondrán en vigor a más tardar el 18 de febrero de 2026 las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

2.   Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

3.   Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 8. Evaluación

A más tardar el 18 de agosto de 2029, la Comisión evaluará la presente Directiva. La Comisión transmitirá el informe de evaluación al Parlamento Europeo y al Consejo. La evaluación se efectuará de conformidad con las directrices de la Comisión para la mejora de la legislación. Los Estados miembros facilitarán a la Comisión la información necesaria para la preparación del informe.

Artículo 9. Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 10. Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.

Hecho en Estrasburgo, el 12 de julio de 2023.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, P. NAVARRO RÍOS

 ———————————–

(1)  DO C 367 de 10.10.2018, p. 88.

(2)  Posición del Parlamento Europeo de 13 de junio de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 27 de junio de 2023.

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(4)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(5)  Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales (véase la página 118 del presente Diario Oficial).

(6)  Directiva 2014/41/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (DO L 130 de 1.5.2014, p. 1).

(7)  Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (DO C 197 de 12.7.2000, p. 3) y su Protocolo (DO C 326 de 21.11.2001, p. 2).

(8)  Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

(9)  Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior y por el que se modifican los Reglamentos (CE) nº 2006/2004 y (UE) 2017/2394 y la Directiva 2009/22/CE (DO L 60 I de 2.3.2018, p. 1).

(10)  Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (DO L 321 de 17.12.2018, p. 36).

(11)  Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(12)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(13)  DO C 32 de 31.1.2020, p. 11.

(14)  Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).

(15)  Reglamento nº 1 del Consejo por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385).

23Feb/22

Resolución del Parlamento Europeo, de 20 de octubre de 2020

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre una Ley de Servicios Digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea [2020/2019(INL)].

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre una Ley de Servicios Digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea [2020/2019(INL)]           

El Parlamento Europeo,

Visto el artículo 225 del Tratado de Funcionamiento de la Unión Europea,

Vistos el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 10 del Convenio Europeo de Derechos Humanos,

Visto el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (1),

Vista la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (2),

Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (3) (en lo sucesivo, «Reglamento General de Protección de Datos»),

Vista la Directiva 2010/13/UE del Parlamento Europeo y del Consejo, de 10 de marzo de 2010, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a la prestación de servicios de comunicación audiovisual (Directiva de servicios de comunicación audiovisual) (4),

Vista la Directiva 2008/52/CE del Parlamento Europeo y del Consejo, de 21 de mayo de 2008, sobre ciertos aspectos de la mediación en asuntos civiles y mercantiles (5),

Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 6 de junio de 2018, por el que se establece el programa Europa Digital para el período 2021-2027 (COM(2018)0434),

Vista la Recomendación (UE) 2018/334 de la Comisión, de 1 de marzo de 2018, sobre medidas para combatir eficazmente los contenidos ilícitos en línea (6),

Visto el Convenio relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (7) y la Convención sobre el reconocimiento y la ejecución de las sentencias arbitrales extranjeras, firmado el 10 de junio de 1958 en Nueva York,

Vista su Resolución, de 3 de octubre de 2018, sobre las tecnologías de registros distribuidos y las cadenas de bloques: fomentar la confianza con la desintermediación (8),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, titulada «Una Estrategia Europea de Datos» (COM(2020)0066),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa» (COM(2020)0067),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 25 de mayo de 2016, titulada «Las plataformas en línea y el mercado único digital – Retos y oportunidades para Europa» (COM(2016)0288),

Visto el estudio de evaluación del valor añadido europeo realizado por el Servicio de Estudios Parlamentarios (EPRS) titulado «Digital Services Act: European added value assessment» (9) (Ley de servicios digitales: valor añadido europeo),

Vistos los artículos 47 y 54 de su Reglamento interno,

Vistas las opiniones de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Cultura y Educación,

Visto el informe de la Comisión de Asuntos Jurídicos (A9-0177/2020),

A.  Considerando que los servicios digitales, que son una piedra angular de la economía de la Unión y el medio de subsistencia de un gran número de sus ciudadanos, deben regularse de manera que se garanticen los derechos fundamentales y otros derechos de los ciudadanos, al tiempo que se respalda el desarrollo y el progreso económico, el entorno digital y se fomenta la confianza en línea, teniendo en cuenta los intereses de los usuarios y de todos los participantes en el mercado, incluidas las pymes y las empresas emergentes;

B.  Considerando que recientemente se han actualizado algunas normas relativas a los prestadores de servicios para compartir contenidos en línea y a los servicios de comunicación audiovisual, en particular mediante la Directiva (UE) 2018/1808 y la Directiva (UE) 2019/790, que una serie de aspectos clave del Derecho civil y mercantil no se han abordado satisfactoriamente en el Derecho de la Unión o nacional, y que la importancia de esta cuestión se ha visto acentuada por un rápido y acelerado desarrollo en las últimas décadas en el ámbito de los servicios digitales, en particular la aparición de nuevos modelos de negocio, tecnologías y realidades sociales; que, en este contexto, se requiere una completa actualización de las disposiciones esenciales del Derecho civil y mercantil aplicables a las entidades comerciales en línea;

C.  Considerando que algunas empresas que ofrecen servicios digitales disfrutan, debido a unos potentes efectos de red basados en datos, de un poder de mercado significativo que les permite imponer sus prácticas comerciales a los usuarios y dificulta cada vez más que otros agentes, en especial las empresas emergentes y las pymes, puedan competir e incluso, en el caso de nuevos negocios, acceder al mercado;

D.  Considerando que la aplicación ex post de la legislación en materia de competencia no puede abordar eficazmente por sí sola las repercusiones del poder de mercado de determinadas plataformas en línea sobre la competencia justa en el mercado único digital;

E.  Considerando que las plataformas de alojamiento de contenidos han evolucionado desde la mera presentación de contenidos a órganos sofisticados y agentes del mercado, en particular las redes sociales que recopilan y explotan datos de uso; que los usuarios tienen motivos razonables para esperar unas condiciones equitativas en lo que se refiere al acceso, la transparencia, la fijación de precios y la resolución de conflictos en el uso de estas plataformas y el uso que las plataformas hacen de los datos de los usuarios; que la transparencia puede contribuir a aumentar significativamente la confianza en los servicios digitales;

F.  Considerando que las plataformas de alojamiento de contenidos pueden determinar qué contenido se muestra a sus usuarios, influyendo así de forma significativa en la manera de obtener y comunicar la información, hasta el punto de que esas plataformas se han convertido de facto en espacios públicos en la esfera digital; que los espacios públicos deben gestionarse protegiendo los intereses públicos y respetando los derechos fundamentales y los derechos civiles de los usuarios, en particular el derecho a la libertad de expresión y de información;

G.  Considerando que la defensa de la ley en el mundo digital no solo implica el respeto efectivo de los derechos fundamentales, en particular la libertad de expresión y de información, la intimidad, la protección y la seguridad, la no discriminación, el respeto de la propiedad y los derechos de propiedad intelectual, sino también el acceso a la justicia y a la tutela judicial efectiva; que delegar en empresas privadas decisiones sobre la legalidad de los contenidos o de las competencias en materia de aplicación del Derecho socava la transparencia y el respeto de las garantías procesales, lo que conduce a un enfoque fragmentado; que, por lo tanto, es necesario un procedimiento judicial acelerado con las garantías adecuadas a fin de asegurar la existencia de vías de recurso eficaces;

H.  Considerando que las herramientas automatizadas son actualmente incapaces de diferenciar de forma fiable los contenidos ilegales de aquellos que son legales en un contexto dado y que, por tanto, los mecanismos para la detección y retirada automáticas de contenidos pueden suscitar cuestiones jurídicas legítimas, en particular en lo que se refiere a posibles restricciones de la libertad de expresión y de información, protegidas en virtud del artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea; que, por consiguiente, el uso de mecanismos automatizados debe ser proporcionado, cubriendo únicamente casos justificados y siguiendo procedimientos transparentes;

I.  Considerando que el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea protege también la libertad y el pluralismo de los medios de comunicación, que dependen cada vez más de las plataformas en línea para llegar a su público;

J.  Considerando que la mayoría de los europeos utiliza los servicios digitales a diario, pero está sujetos a un conjunto cada vez más amplio de normas dentro de la Unión, lo que conduce a una fragmentación significativa del mercado y, por consiguiente, genera inseguridad jurídica para los usuarios y los servicios europeos transfronterizos; que los regímenes de Derecho civil que rigen las prácticas de las plataformas de alojamiento de contenidos en cuanto a la moderación de contenidos se basan en determinadas disposiciones sectoriales a escala de la Unión y nacional, con diferencias notables en cuanto a las obligaciones impuestas y a los mecanismos de aplicación previstos; que esta situación ha dado lugar a un conjunto fragmentado de normas para el mercado único digital, lo que requiere una respuesta a escala de la Unión;

K.  Considerando que el actual modelo de negocio de determinadas plataformas de alojamiento de contenidos consiste en la promoción de contenidos que se espera atraigan la atención de los usuarios y, por tanto, generen más datos para la elaboración de perfiles, con el fin de ofrecer una publicidad personalizada más eficaz y aumentar así los beneficios; que esta elaboración de perfiles asociada a publicidad personalizada puede llevar a menudo a la amplificación de contenidos dirigida a la explotación de las emociones, lo que a menudo alienta y facilita el sensacionalismo en las fuentes web y en los sistemas de recomendación, lo que a su vez desemboca en la posible manipulación de los usuarios;

L.  Considerando que el ofrecimiento de publicidad contextual a los usuarios requiere menos datos del usuario que la publicidad comportamental personalizada, por lo que resulta menos intrusiva;

M.  Considerando que la elección de la lógica algorítmica detrás de los sistemas de recomendación, los servicios de comparación, la curación de contenidos o la colocación de anuncios publicitarios sigue quedando a la discreción de las plataformas de alojamiento de contenidos, con escasas posibilidades de supervisión pública, lo que suscita cuestiones en cuanto a la rendición de cuentas y la transparencia;

N.  Considerando que las plataformas de alojamiento de contenidos con un poder de mercado significativo posibilitan que sus usuarios utilicen sus perfiles para acceder a sitios web de terceros, lo que les permite realizar un seguimiento de sus actividades incluso fuera del entorno de su plataforma, que constituye una ventaja competitiva en el acceso a datos para los algoritmos de curación de contenidos;

O.  Considerando que los denominados «contratos inteligentes», basados en tecnologías de registros distribuidos, incluidas las cadenas de bloques, que facilitan un registro descentralizado y totalmente rastreable y la realización de autoejecuciones, se están utilizando en una serie de ámbitos sin un marco jurídico adecuado; que existe cierta incertidumbre sobre la legalidad de dichos contratos y su aplicabilidad en situaciones transfronterizas;

P.  Considerando que las condiciones no negociables de las plataformas suelen remitirse tanto a legislación aplicable como a órganos jurisdiccionales competentes de fuera de la Unión, lo que imposibilita el acceso a la justicia; que el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (10) establece normas sobre competencia judicial; que en el Reglamento General de Protección de Datos se clarifica el derecho del interesado a ejercitar acciones privadas directamente en contra del responsable o del encargado del tratamiento, independientemente de que el tratamiento tenga lugar en la Unión o no, y de que el responsable del tratamiento esté establecido en la Unión o no; que en el artículo 79 del Reglamento General de Protección de Datos se dispone que las acciones deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento, o bien del Estado miembro en el que el interesado tenga su residencia habitual;

Q.  Considerando que el acceso a los datos no personales y su minería es un factor importante para el crecimiento de la economía digital; que unas normas jurídicas adecuadas y unas salvaguardias de protección de datos en lo que respecta a la interoperabilidad de los datos, al eliminar efectos de bloqueo, puede desempeñar un papel importante a la hora de garantizar la existencia de unas condiciones de mercado equitativas;

R.  Considerando que es importante evaluar la posibilidad de asignar a una entidad europea la responsabilidad de garantizar un enfoque armonizado de la aplicación de la Ley de Servicios Digitales en toda la Unión, facilitando la coordinación a nivel nacional, así como abordando las nuevas oportunidades y desafíos, en particular de carácter transfronterizo, que se derivan de los continuos avances tecnológicos;

Ley de Servicios Digitales

1.  Pide a la Comisión que presente sin demora indebida un conjunto de propuestas legislativas que constituya una Ley de Servicios Digitales que cuente con un adecuado ámbito de aplicación material, personal y territorial, que defina los conceptos clave e incluya las recomendaciones que figuran en el anexo de la presente Resolución; opina que, sin perjuicio de los detalles de las futuras propuestas legislativas, el artículo 114 del Tratado de Funcionamiento de la Unión Europea debe constituir la base jurídica;

2.  Propone que la Ley de Servicios Digitales incluya un reglamento que establezca derechos contractuales en materia de gestión de contenidos, fije normas y procedimientos transparentes, equitativos vinculantes y uniformes para la moderación de contenidos, y garantice unas vías de recurso judicial accesibles e independientes; destaca que las propuestas legislativas deben disponer de una base empírica y tener por objeto eliminar las barreras ya existentes, así como evitar posibles nuevas barreras injustificadas en relación con la prestación de servicios digitales por parte de las plataformas en línea, mejorando al mismo tiempo la protección de los consumidores y los ciudadanos; cree que estas propuestas legislativas deben perseguir el logro de un crecimiento inteligente y sostenible, abordar los desafíos tecnológicos y garantizar que el mercado único digital es justo y seguro para todos;

3.  Propone, además, que las medidas propuestas para la moderación de los contenidos solo se apliquen a los contenidos ilegales y no a los contenidos meramente nocivos; sugiere, a tal fin, que el reglamento incluya criterios universales para determinar el poder de mercado de las plataformas, a fin de proporcionar una definición clara de lo que constituye una plataforma con poder de mercado significativo y concluir de esta forma si ciertas plataformas de alojamiento de contenidos que no tienen un poder de mercado significativo pueden quedar exentas de determinadas disposiciones; subraya que el marco establecido en la Ley de Servicios Digitales debe ser gestionable para las pequeñas empresas, las pymes y las empresas emergentes, y debe incluir, por tanto, obligaciones proporcionadas para todos los sectores;

4.  Propone que la Ley de Servicios Digitales imponga a los prestadores de servicios digitales establecidos fuera de la Unión la obligación de designar un representante legal en interés de los usuarios dentro de la Unión —al que podrían dirigirse las solicitudes con el fin, por ejemplo, de permitir el resarcimiento de los consumidores en caso de publicidad falsa o engañosa— y de hacer visible y accesible la información de contacto de dicho representante en el sitio web del prestador de servicios digitales;

Derechos sobre la moderación de contenidos

5.  Subraya que la responsabilidad de hacer cumplir la ley debe recaer en las autoridades públicas; considera que la decisión final sobre la legalidad de los contenidos generados por los usuarios debe ser adoptada por un órgano judicial independiente y no por una entidad comercial privada;

6.  Insiste en que el reglamento debe prohibir las prácticas de moderación de contenidos que sean discriminatorias o comporten una explotación o exclusión, especialmente con respecto a las personas más vulnerables, y que debe respetar siempre los derechos y libertades fundamentales de los usuarios, en particular la libertad de expresión;

7.  Destaca la necesidad de proteger mejor a los consumidores proporcionando información fiable y transparente sobre ejemplos de malas prácticas, como la presentación de declaraciones engañosas y las estafas;

8.  Recomienda que la aplicación del reglamento sea objeto de un estrecho seguimiento por parte de una entidad europea encargada de garantizar el cumplimiento por parte de las plataformas de alojamiento de contenidos de las disposiciones del reglamento, en particular mediante el control del cumplimiento de las normas establecidas para la gestión de contenidos sobre la base de informes de transparencia, y a través de la supervisión de los algoritmos empleados para la gestión de contenidos por dichas plataformas; pide a la Comisión que evalúe las opciones de designar una agencia europea u órgano europeo existente o nuevo o de coordinar ella misma una red de autoridades nacionales a fin de llevar a cabo estas tareas (en lo sucesivo, «entidad europea»);

9.  Sugiere que las plataformas de alojamiento de contenidos presenten periódicamente a la entidad europea informes exhaustivos de transparencia basados en una metodología coherente y evaluados de acuerdo con unos indicadores de rendimiento pertinentes, también sobre sus políticas de contenidos y la conformidad de sus condiciones con las disposiciones de la Ley de Servicios Digitales; propone, además, que las plataformas de alojamiento de contenidos publiquen y faciliten el acceso a esos informes de manera fácil y accesible, así como sus políticas de gestión de contenidos, en una base de datos de acceso público;

10.  Pide que las plataformas de alojamiento de contenidos con un poder de mercado significativo evalúen el riesgo que sus políticas de gestión de contenidos jurídicos plantean a la sociedad, en particular por lo que se refiere a su impacto en los derechos fundamentales, y que entablen un diálogo bianual con la entidad europea y las autoridades nacionales pertinentes sobre la base de una presentación de informes de transparencia;

11.  Recomienda que los Estados miembros establezcan órganos independientes de resolución de litigios, encargados de resolver los litigios relativos a la moderación de contenidos; estima que, a fin de proteger las publicaciones anónimas y el interés general, no solo el usuario que haya cargado el contenido que es objeto de un litigio, sino también un tercero, como un mediador, con un interés legítimo en la actuación deben poder impugnar las decisiones de moderación de contenidos; reafirma el derecho de los usuarios a recurrir además a la justicia;

12.  Adopta una posición firme en el sentido de que la Ley de Servicios Digitales no debe obligar a las plataformas de alojamiento de contenidos a emplear ningún tipo de control ex ante de los contenidos totalmente automatizado, a menos que se especifique de otro modo en el Derecho de la Unión vigente, y considera que los mecanismos utilizados voluntariamente por las plataformas no deben conducir a mecanismos de control ex ante basados en herramientas automatizadas ni al filtrado de los contenidos cargados y que deben estar sujetos a auditorías por parte de la entidad europea al objeto de garantizar el cumplimiento de la Ley de Servicios Digitales;

13.  Subraya que las plataformas de alojamiento de contenidos deben ser transparentes en lo que se refiere al tratamiento de los algoritmos y de los datos utilizados en su formación;

Derechos sobre la curación de contenidos, los datos y la publicidad en línea

14.  Opina que la amplificación de contenidos en función del usuario basada en las visualizaciones o en las posiciones presentadas en tales contenidos es una de las prácticas más perjudiciales de la sociedad digital, especialmente en los casos en que la visibilidad de dichos contenidos se incrementa en función de la interacción previa del usuario con otros contenidos amplificados y con el fin de optimizar los perfiles de usuario al objeto de crear publicidad personalizada; expresa su preocupación por que estas prácticas se basen en un seguimiento generalizado y en la minería de datos; pide a la Comisión que analice el impacto de estas prácticas y adopte las medidas legislativas adecuadas;

15.  Estima que el uso de publicidad personalizada debe regularse de manera más estricta en favor de formas menos intrusivas de publicidad que no requieran un seguimiento exhaustivo de la interacción del usuario con los contenidos y que la exposición de publicidad comportamental debe condicionarse al consentimiento libre, específico, informado e inequívoco del usuario;

16.  Toma nota de las disposiciones vigentes que abordan la publicidad personalizada en el Reglamento General de Protección de Datos y en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (11);

17.  Recomienda, por tanto, que la Ley de Servicios Digitales establezca límites claros e introduzca normas de transparencia en lo que respecta a las condiciones de acumulación de datos destinados al ofrecimiento de publicidad personalizada y al funcionamiento y rendición de cuentas de dicha publicidad personalizada, especialmente cuando los datos sean recopilados cuando se navega en sitios web de terceros; sostiene que hacen falta nuevas medidas que establezcan un marco sobre las relaciones entre las plataformas y los consumidores en lo que respecta a las disposiciones en materia de transparencia relativas a la publicidad, los incentivos digitales y el trato preferente; invita a la Comisión a que evalúe las opciones para regular la publicidad personalizada, incluida una eliminación progresiva que conduzca a una prohibición;

18.  Subraya que, en consonancia con el principio de minimización de datos y con el fin de evitar la divulgación no autorizada, la usurpación de identidad y otras formas de abuso de los datos personales, la Ley de Servicios Digitales debe prever el derecho a utilizar los servicios digitales de forma anónima siempre que sea técnicamente posible; pide a la Comisión que exija a las plataformas de alojamiento de contenidos que verifiquen la identidad de los anunciantes con los que mantengan relaciones comerciales en aras de garantizar la rendición de cuentas de los anunciantes en caso de que los contenidos promocionados sean ilegales; recomienda, por tanto, que la Ley de Servicios Digitales incluya disposiciones legales que impidan a las plataformas explotar comercialmente datos de terceros en situaciones de competencia con dichos terceros;

19.  Lamenta la asimetría de información existente entre las plataformas de alojamiento de contenidos y las autoridades públicas y pide un intercambio racionalizado de la información necesaria; destaca que, de acuerdo a la jurisprudencia sobre los metadatos de comunicaciones, debe darse acceso a las autoridades públicas a los metadatos de un usuario únicamente para investigar a los sospechosos de delitos graves y con autorización judicial previa;

20.  Recomienda que se exija a los prestadores de servicios que prestan apoyo a un servicio de autenticación única con un poder de mercado significativo que apoyen también al menos un sistema de identificación abierto y descentralizado basado en un marco genérico; pide a la Comisión que proponga unas normas comunes de la Unión para los sistemas nacionales facilitados por los Estados miembros, especialmente en lo que se refiere a las normas de protección de datos y la interoperabilidad transfronteriza;

21.  Pide a la Comisión que evalúe la posibilidad de definir condiciones contractuales equitativas para facilitar la puesta en común de datos e incrementar la transparencia, con el fin de corregir los desequilibrios en el poder de mercado; sugiere, a tal efecto, que se exploren opciones para favorecer la interoperabilidad, la interconectividad y la portabilidad de los datos; señala que el intercambio de datos debe ir acompañado de las salvaguardias adecuadas y apropiadas, incluida la anonimización efectiva de los datos personales;

22.  Recomienda que la Ley de Servicios Digitales exija a las plataformas con un poder de mercado significativo que faciliten una interfaz de programación de aplicaciones a través de la cual las plataformas de terceros y sus usuarios puedan interoperar con las principales funciones y usuarios de la plataforma que ofrece la interfaz de programación de aplicaciones, incluidos los servicios de terceros diseñados para mejorar y personalizar la experiencia de los usuarios, especialmente mediante servicios que adaptan los parámetros de privacidad y las preferencias de curación de contenidos; sugiere que las plataformas documenten públicamente todas las interfaces de programación de aplicaciones que facilitan con el fin de permitir la interoperabilidad y la interconectividad de los servicios;

23.  Expresa su firme opinión, por otra parte, de que las plataformas con un poder de mercado significativo que proporcionen una interfaz de programación de aplicaciones no deben compartir, retener, monetizar o utilizar ninguno de los datos que reciban de los servicios prestados por terceros;

24.  Hace hincapié en que las obligaciones de interoperabilidad e interconectividad descritas anteriormente no pueden limitar, obstaculizar o retrasar la capacidad de las plataformas de alojamiento de contenidos de resolver los problemas de seguridad, ni la necesidad de resolver los problemas de seguridad debe conducir a una suspensión indebida de la interfaz de programación de aplicaciones que facilita la interoperabilidad y la interconectividad;

25.  Recuerda que las disposiciones sobre interoperabilidad e interconectividad deben respetar toda la legislación pertinente en materia de protección de datos; recomienda, a este respecto, que la Ley de Servicios Digitales exija a las plataformas que garanticen la viabilidad técnica de las disposiciones sobre portabilidad de datos establecidas en el artículo 20, apartado 2, del Reglamento General de Protección de Datos;

26.  Solicita que las plataformas de alojamiento de contenidos ofrezcan a los usuarios una opción real de dar o no su consentimiento previo a que se les presente publicidad personalizada basada en la interacción previa del usuario con contenidos en la misma plataforma de alojamiento de contenidos o en sitios web de terceros; subraya que esta opción debe presentarse de manera clara y comprensible y que su rechazo no debe conducir a la desactivación del acceso a las funciones de la plataforma; pone de relieve que el consentimiento en la publicidad personalizada no debe considerarse libre y válido si el acceso al servicio está condicionado al tratamiento de datos; confirma nuevamente que la Directiva 2002/58/CE supedita la publicidad personalizada a una decisión de participación voluntaria y que, de lo contrario, está prohibida; señala que, puesto que las actividades en línea de una persona permiten conocer en profundidad su personalidad y manipularla, la recopilación general e indiscriminada de datos personales en relación con cada uso de un servicio digital interfiere desproporcionadamente en el derecho a la intimidad; confirma que los usuarios tienen derecho a no ser objeto de un seguimiento generalizado cuando utilizan servicios digitales;

27.  Pide a la Comisión que garantice que, en ese mismo espíritu, los consumidores puedan seguir utilizando todas las funciones de un dispositivo conectado, incluso en caso de que un consumidor retire o no preste su consentimiento para compartir datos no operativos con el fabricante del dispositivo o con terceros; reitera la necesidad de transparencia en las condiciones contractuales en lo que respecta a la posibilidad de poner en común datos con terceros y al alcance de dicha puesta en común;

28.  Pide asimismo que se garantice a los usuarios un grado de transparencia e influencia adecuado sobre los criterios con arreglo a los cuales se cuidan y se les hacen visibles los contenidos; afirma que esto también debe incluir la opción de ser excluidos de cualquier curación de contenidos distinta del orden cronológico; señala que las interfaces de programación de aplicaciones proporcionadas por las plataformas han de permitir que los usuarios tengan contenidos curados con el software o los servicios de su elección;

29.  Subraya la importancia de que la Ley de Servicios Digitales sea jurídicamente sólida y proteja eficazmente a los menores en el entorno en línea, y de que se abstenga, al mismo tiempo, de imponer obligaciones generales de control o filtrado y garantice la plena coordinación y evite las duplicaciones con el Reglamento General de Protección de Datos y con la Directiva de servicios de comunicación audiovisual.

30.  Recuerda que deberían identificarse de forma clara, concisa e inteligente los anuncios retribuidos o la colocación retribuida de contenidos patrocinados; sugiere que las plataformas revelen el origen de los anuncios de pago y de los contenidos patrocinados; propone, a tal fin, que las plataformas de alojamiento de contenidos publiquen todos los contenidos y anuncios patrocinados y los hagan claramente visibles a sus usuarios en un archivo publicitario de acceso público, indicando quién ha pagado por ellos y, en su caso, en nombre de quién; hace hincapié en que esto incluye tanto los pagos directos como los indirectos o cualquier otra remuneración percibida por los prestadores de servicios;

31.  Considera que, si los datos pertinentes muestran una divergencia importante en las prácticas de publicidad engañosa y en la aplicación de las normas entre las plataformas con base en la Unión y las plataformas con base en terceros países, es razonable examinar otras opciones para velar por el cumplimiento de la legislación vigente en el seno de la Unión; destaca que es necesaria la igualdad de condiciones entre los anunciantes de la Unión y los anunciantes de terceros países;

Disposiciones relativas a las condiciones, los contratos inteligentes y las cadenas de bloques y el Derecho internacional privado

32.  Constata el aumento de los denominados «contratos inteligentes», como los basados en tecnologías de registros distribuidos, sin un marco jurídico claro;

33.  Pide a la Comisión que evalúe el desarrollo y el uso de las tecnologías de registros distribuidos, incluidas las cadenas de bloques y, en particular, de los denominados contratos inteligentes, que proporcione orientaciones para garantizar seguridad jurídica a las empresas y los consumidores, en especial sobre las cuestiones de legalidad, aplicación de los contratos inteligentes en las situaciones transfronterizas, y los requisitos de certificación notarial, en su caso, y que presente propuestas acerca del marco jurídico adecuado;

34.  Subraya que la equidad y el cumplimiento de las normas relativas a los derechos fundamentales de las condiciones impuestas por los intermediarios a los usuarios de sus servicios deben estar sujetos a control judicial; resalta que las condiciones que restrinjan indebidamente los derechos fundamentales de los usuarios, como el derecho a la intimidad y a la libertad de expresión, no deben ser vinculantes;

35.  Pide a la Comisión que examine las modalidades para garantizar un equilibrio adecuado y la igualdad entre las partes de los contratos inteligentes teniendo en cuenta las preocupaciones privadas de la parte más débil o las preocupaciones públicas, como las relacionadas con los acuerdos de cártel; hace hincapié en la necesidad de garantizar el respeto de los derechos de los acreedores en los procedimientos de insolvencia y reestructuración; recomienda encarecidamente que los contratos inteligentes incluyan mecanismos que puedan detener e invertir su ejecución y los pagos correspondientes;

36.  Pide, en particular, a la Comisión que actualice su documento de orientación sobre la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores (12) con el fin de aclarar si considera que los contratos inteligentes quedan incluidos en la exención prevista en el artículo 3, apartado 3, letra l), y, en ese caso, en qué circunstancias, así como que aclare la cuestión del derecho de desistimiento;

37.  Hace hincapié en la necesidad de que las tecnologías de cadena de bloques y, en particular, los contratos inteligentes se utilicen de conformidad con las normas y los requisitos antimonopolio, incluidos los que prohíban los acuerdos de cártel o las prácticas concertadas;

38.  Considera que las cláusulas tipo no deben ni impedir el acceso efectivo a la justicia en los tribunales de la Unión ni privar de derechos a los ciudadanos o las empresas de la Unión; pide a la Comisión que evalúe si la protección de los derechos de acceso a los datos en virtud del Derecho internacional privado es incierta y genera desventajas para los ciudadanos y las empresas de la Unión;

39.  Pone de relieve la importancia de garantizar que el uso de servicios digitales en la Unión se rija plenamente por el Derecho de la Unión bajo la jurisdicción de los tribunales de la Unión;

40.  Concluye, además, que las soluciones legislativas a estas cuestiones deberían encontrarse a escala de la Unión, si no parece viable una acción a nivel internacional o si existe el riesgo de que esa acción se materialice en un plazo demasiado largo;

41.  Destaca que no debe exigirse a los prestadores de servicios de alojamiento en la Unión que retiren o inhabiliten el acceso a información que sea legal en su país de origen;

42.  Encarga a su presidente que transmita la presente Resolución y las recomendaciones detalladas que se recogen en el anexo a la Comisión y al Consejo.

————————————————-

(1) DO L 186 de 11.7.2019, p. 57.

(2) DO L 130 de 17.5.2019, p. 92.

(3) DO L 119 de 4.5.2016, p. 1.

(4) DO L 95 de 15.4.2010, p. 1.

(5) DO L 136 de 24.5.2008, p. 3.

(6) DO L 63 de 6.3.2018, p. 50.

(7) DO L 339 de 21.12.2007, p. 3.

(8) DO C 11 de 13.1.2020, p. 7.

(9) https://www.europarl.europa.eu/RegData/etudes/STUD/2020/654180/EPRS_STU(2020)654180_EN.pdf

(10) DO L 351 de 20.12.2012, p. 1.

(11) DO L 201 de 31.7.2002, p. 37.

(12) DO L 304 de 22.11.2011, p. 64.

———————————————

 ANEXO A LA RESOLUCIÓN:        

RECOMENDACIONES DETALLADAS RESPECTO AL CONTENIDO DE LA PROPUESTA SOLICITADA

A.  PRINCIPIOS Y OBJETIVOS DE LA PROPUESTA SOLICITADA

PRINCIPIOS CLAVE Y OBJETIVOS DE LA PROPUESTA:

—  La propuesta establece tanto actos que deben incluirse en la Ley de Servicios Digitales como actos accesorios a la Ley de Servicios Digitales.

—  La propuesta tiene por objeto reforzar las normas de Derecho civil y mercantil aplicables a las entidades comerciales que operan en línea con respecto a los servicios digitales.

—  La propuesta tiene por objeto reforzar y aclarar los derechos contractuales de los usuarios en relación con la moderación y la curación de contenidos.

—  La propuesta tiene por objeto hacer frente a condiciones contractuales inadmisibles e injustas que se utilizan para los servicios digitales.

—  La propuesta plantea la cuestión de los aspectos relativos a la recopilación de datos en contravención de los derechos contractuales equitativos de los usuarios, así como de las normas de protección de datos y de confidencialidad en línea.

—  La propuesta aborda la importancia de una aplicación justa de los derechos de los usuarios en materia de interoperabilidad y portabilidad.

—  La propuesta plantea la importancia de normas de Derecho internacional privado que proporcionen claridad jurídica en cuanto a las cláusulas predispuestas utilizadas por las plataformas en línea, así como de asegurar el derecho al acceso a los datos y garantizar el acceso a la justicia.

—  La propuesta no aborda aspectos relacionados con la regulación de los mercados en línea, que, no obstante, deben tenerse en cuenta en el paquete de la Ley de Servicios Digitales que proponga la Comisión.

—  La propuesta plantea la pertinencia de evaluar la necesidad de regular adecuadamente los aspectos de Derecho civil y mercantil en el ámbito de las tecnologías de registros distribuidos, incluidas las cadenas de bloques, y, en particular, aborda la necesidad de regular adecuadamente los aspectos de Derecho civil y mercantil de los contratos inteligentes.

I.  PROPUESTAS QUE DEBEN INCLUIRSE EN LA LEY DE SERVICIOS DIGITALES

Los elementos clave de las propuestas que deben incluirse en la Ley de Servicios Digitales han de ser:

Un reglamento sobre los derechos contractuales por lo que respecta a la gestión de contenidos y que contenga los elementos siguientes:

—  Debe aplicarse a la gestión de contenidos, incluidas la moderación y la curación de contenidos, en relación con contenidos accesibles en la Unión.

—  Debe establecer principios proporcionados para la moderación de contenidos.

—  Debe proporcionar normas formales y procedimentales sobre un mecanismo de aviso y acción que sean eficaces, estén preparadas para el futuro y guarden proporción con la plataforma y con la naturaleza y el impacto del daño.

—  Debe prever un mecanismo independiente de resolución de litigios en los Estados miembros sin limitar el acceso a la tutela judicial.

—  Debe establecer un conjunto de indicadores claros para definir el poder de mercado de las plataformas de alojamiento de contenidos, a fin de determinar si determinadas plataformas de alojamiento de contenidos que no tienen un poder de mercado significativo pueden quedar exentas de determinadas disposiciones. Estos indicadores podrían incluir las dimensiones de su red (número de usuarios), su solidez financiera, el acceso a los datos, el grado de integración vertical o la existencia de un efecto de bloqueo.

—  Debe establecer normas sobre la responsabilidad de las plataformas de alojamiento de contenidos por los productos vendidos o anunciados en ellas, teniendo en cuenta las actividades de apoyo para las pymes con el fin de reducir al mínimo el peso que recaiga sobre ellas a la hora de adaptarse a esta responsabilidad.

—  Debe distinguir claramente entre los contenidos ilegales y nocivos a la hora de elegir la opción de actuación idónea. A este respecto, cualquier medida de la Ley de Servicios Digitales debe referirse únicamente a los contenidos ilegales tal como se definen en el Derecho de la Unión y nacional.

—  Debe basarse en principios establecidos para determinar la ley aplicable al cumplimiento del Derecho administrativo y, a la luz de la creciente convergencia de los derechos de los usuarios, debe indicar claramente que todos los aspectos de su ámbito de aplicación se rigen por dichos principios.

—  Debe respetar plenamente la Carta de los Derechos Fundamentales de la Unión Europea y las normas de la Unión que protegen a los usuarios y su seguridad, intimidad y datos personales, así como otros derechos fundamentales.

—   Debe prever un diálogo entre las plataformas de alojamiento de contenidos con un poder de mercado significativo y la entidad europea sobre la gestión de riesgos a la hora de gestionar contenidos jurídicos.

La Comisión debe estudiar opciones acerca de una entidad europea encargada de garantizar el cumplimiento de las disposiciones de la propuesta a través de las siguientes medidas:

—  controlar periódicamente los algoritmos empleados por las plataformas de alojamiento de contenidos para la gestión de contenidos;

—  revisar periódicamente el cumplimiento de las disposiciones del reglamento por parte de las plataformas de alojamiento de contenidos, sobre la base de los informes de transparencia facilitados por las plataformas de alojamiento de contenidos y la base de datos pública de decisiones sobre la retirada de contenidos que debe establecer la Ley de Servicios Digitales;

—  trabajar con las plataformas de alojamiento de contenidos en las mejores prácticas para el cumplimiento de los requisitos de transparencia y rendición de cuentas en relación con las condiciones contractuales, así como las mejores prácticas en cuanto a la moderación de contenidos y los procedimientos de aviso y acción;

—  cooperar y coordinarse con las autoridades nacionales de los Estados miembros en lo que respecta a la aplicación de la Ley de Servicios Digitales;

—  gestionar un fondo específico para ayudar a los Estados miembros a financiar los costes de funcionamiento de los organismos independientes de resolución de litigios descritos en el reglamento, financiados mediante multas impuestas a las plataformas de alojamiento de contenidos por incumplimiento de las disposiciones de la Ley de Servicios Digitales, así como una contribución de las plataformas de alojamiento de contenidos con un poder de mercado significativo;

—  imponer multas por el incumplimiento de la Ley de Servicios Digitales. Las multas deben contribuir a un fondo específico especial destinado a ayudar a los Estados miembros a la hora de financiar los costes de funcionamiento de los órganos de resolución de litigios descritos en el reglamento. Los incumplimientos deben incluir:

–  no aplicar las disposiciones del reglamento;

–  no facilitar condiciones transparentes, accesibles, justas y no discriminatorias;

–  no proporcionar a la entidad europea acceso a los algoritmos de gestión de contenidos para su revisión;

–  no presentar informes de transparencia a la entidad europea;

—  publicar informes semestrales sobre todas sus actividades e informar a las instituciones de la Unión.

Los informes de transparencia sobre a la gestión de contenidos deben establecerse del siguiente modo:

La Ley de Servicios Digitales debe recoger disposiciones que obliguen a las plataformas de alojamiento de contenidos a facilitar periódicamente informes de transparencia al comité. Estos informes deben ser exhaustivos y seguir una metodología coherente, y ofrecerán, en particular:

—  información sobre los avisos tratados por la plataforma de alojamiento de contenidos, incluidos los siguientes puntos:

–  el número total de avisos recibidos, los tipos de contenidos a que se refieren y las medidas adoptadas a raíz de ellos;

–  el número de avisos recibidos por categoría de entidad remitente, como particulares, autoridades públicas o empresas privadas,

–  el número total de solicitudes de retirada atendidas y el número total de remisiones de contenidos a las autoridades competentes;

–  el número total de contraavisos o impugnaciones recibidas, así como información sobre cómo se han resuelto,

–  el plazo medio transcurrido entre la publicación, el aviso, el contraaviso y la acción,

—  información sobre el número de empleados dedicados a la moderación de contenidos, su localización, formación y competencias lingüísticas, así como cualquier algoritmo utilizado en la toma de decisiones,

—  información sobre las solicitudes de información por parte de las autoridades públicas, como las responsables de la aplicación de la ley, incluidos los números de las solicitudes satisfechas por completo y de las solicitudes no atendidas o que se atendieron solo parcialmente,

—  información sobre la aplicación de las condiciones contractuales e información sobre las resoluciones judiciales por las que se ordena la anulación o la modificación de las condiciones consideradas ilegales por un Estado miembro.

Las plataformas de alojamiento de contenidos deben publicar, además, sus decisiones sobre la retirada de contenidos en una base de datos de acceso público a fin de aumentar la transparencia para los usuarios.

Los órganos independientes de resolución de litigios que establezca el Reglamento deben publicar informes sobre el número de asuntos que se les han remitido, indicando el número de remisiones que tomaron en consideración.

II.  PROPUESTAS ACCESORIAS A LA LEY DE SERVICIOS DIGITALES

Las medidas relativas a la curación de contenidos, los datos y la publicidad en línea que violen los derechos contractuales equitativos de los usuarios deben incluir:

—  Medidas para reducir al mínimo los datos recopilados por las plataformas de alojamiento de contenidos, basados, en particular, en la interacción de los usuarios con contenidos alojados en plataformas de alojamiento de contenidos, con el fin de completar perfiles para publicidad personalizada, en particular mediante la imposición de condiciones estrictas para el uso de la publicidad personalizada y exigiendo el consentimiento previo, libre, específico, informado e inequívoco del usuario. El consentimiento dado a la publicidad personalizada no se considerará libre y válido si el acceso al servicio está supeditado al tratamiento de datos.

—  Se informará a los usuarios de plataformas de alojamiento de contenidos si son objeto de publicidad personalizada, se les dará acceso al perfil elaborado por las plataformas de alojamiento de contenidos y la posibilidad de modificarlo, y se les dará la opción de elegir si reciben o no publicidad personalizada y de retirar su consentimiento a ser objeto de la misma.

—  Las plataformas de alojamiento de contenidos deben facilitar un archivo de los contenidos patrocinados y los anuncios mostrados a sus usuarios, que deberá indicar:

–  si el contenido patrocinado o patrocinio está activo o no en la actualidad,

–  el período durante el que el anuncio del contenido patrocinado ha estado activo,

–  el nombre y los datos de contacto del patrocinador o del anunciante y, si fueran diferentes, los de la persona en cuyo nombre ha sido colocado el contenido patrocinado o el anuncio,

–  el número total de usuarios a los que ha llegado,

–  información sobre el grupo de usuarios destinatarios.

El camino hacia una justa aplicación de los derechos de los usuarios en materia de interconectividad y portabilidad debe incluir:

—  una evaluación de la posibilidad de definir condiciones contractuales equitativas para facilitar la puesta en común de datos, con el fin de corregir los desequilibrios en el poder de mercado mediante la interoperabilidad, la interconectividad y la portabilidad de los datos.

—  la exigencia a las plataformas con poder de mercado significativo de que faciliten una interfaz de programación de aplicaciones a través de las cuales las plataformas de terceros y sus usuarios puedan interoperar con las principales funcionalidades y usuarios de la plataforma que ofrece la interfaz, incluidos los servicios de terceros diseñados para mejorar y personalizar la experiencia de los usuarios de la plataforma que ofrece la interfaz, especialmente a través de servicios que personalicen los parámetros de privacidad y las preferencias de curación de contenidos;

—  disposiciones que garanticen que las plataformas con un poder de mercado significativo que proporcionan una interfaz de programación de aplicaciones no puedan compartir, retener, monetizar o utilizar los datos que reciban de los servicios prestados por terceros;

—  disposiciones que garanticen que las obligaciones de interoperabilidad e interconectividad no limiten, obstaculicen o retrasen la capacidad de las plataformas de alojamiento de contenidos para subsanar problemas de seguridad, y que la necesidad de subsanar problemas de seguridad no conduzca a una suspensión indebida de la interfaz de programación de aplicaciones que facilita la interoperabilidad y la interconectividad;

—  disposiciones que garanticen que la Ley de Servicios Digitales exija a las plataformas cerciorarse de la viabilidad técnica de las disposiciones sobre portabilidad de datos establecidas en el artículo 20, apartado 2, del Reglamento General de Protección de Datos;

—  disposiciones que garanticen que las plataformas de alojamiento de contenidos con un poder de mercado significativo documenten públicamente todas las interfaces de programación de aplicaciones que facilitan con el propósito de permitir la interoperabilidad y la interconectividad de los servicios.

El camino hacia una regulación adecuada de los aspectos de Derecho civil y mercantil de las tecnologías de registros distribuidos, incluidas las cadenas de bloques y, en particular, los contratos inteligentes, debe comprender:

—  medidas que garanticen la existencia de un marco legislativo adecuado para el desarrollo y el despliegue de servicios digitales, incluidas las tecnologías de registros distribuidos, como las cadenas de bloques y los contratos inteligentes,

—  medidas que garanticen que los contratos inteligentes estén dotados de mecanismos que permitan detener y revertir su ejecución, en particular ante preocupaciones de índole privada de las partes más débiles o ante preocupaciones de índole pública relacionadas con la formación de carteles y con los derechos de los acreedores en caso de insolvencia y reestructuración,

—  medidas que garanticen un equilibrio adecuado y la igualdad entre las partes de contratos inteligentes, teniendo en cuenta, en particular, el interés de las pymes, para lo cual la Comisión debe estudiar las posibles modalidades;

—  una actualización del documento de orientación vigente sobre la Directiva 2011/83/UE con el fin de aclarar si los contratos inteligentes están comprendidos en el ámbito de la exención a que se refiere el artículo 3, apartado 3, letra i), de dicha Directiva, así como cuestiones relacionadas con las transacciones transfronterizas, los requisitos de la certificación notarial y el derecho de desistimiento;

El camino hacia unas normas de Derecho internacional privado equitativas que no priven a los usuarios del acceso a la justicia debe:

—  incluir medidas que garanticen que las cláusulas contractuales tipo no incluyan disposiciones que regulen cuestiones de Derecho internacional privado en detrimento del acceso a la justicia, en particular mediante el cumplimiento efectivo de medidas vigentes con este fin;

—  incluir medidas que aclaren las normas de Derecho internacional privado para que, en particular, contemplen las actividades de las plataformas en lo relativo a los datos, de manera que no vayan en detrimento de asuntos de la Unión,

—  basarse en el multilateralismo y, si es posible, acordarse en los foros internacionales adecuados.

Únicamente en caso de que resulte imposible alcanzar una solución basada en el multilateralismo en un plazo razonable debe proponerse la adopción de medidas que se apliquen en la Unión, a fin de garantizar que el uso de los servicios digitales en la Unión se rige plenamente por el Derecho de la Unión bajo la jurisdicción de los tribunales de la Unión.

B.  TEXTO DE LA PROPUESTA LEGISLATIVA SOLICITADA

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre los derechos contractuales por lo que respecta a la gestión de contenidos

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)  Las condiciones contractuales que los prestadores de servicios digitales aplican en las relaciones con los usuarios suelen ser innegociables y los prestadores pueden modificarlas de manera unilateral. Es necesaria una acción legislativa con miras a establecer unas normas mínimas sobre dichas condiciones, en particular por lo que se refiere a las normas procedimentales sobre la gestión de contenidos;

(2)  Los regímenes de Derecho civil que rigen las prácticas de las plataformas de alojamiento de contenidos en cuanto a la moderación de contenidos se basan en determinadas disposiciones sectoriales a escala de la Unión, así como en legislación adoptada por los Estados miembros a nivel nacional, y existen diferencias notables en las obligaciones impuestas por esos regímenes de Derecho civil a las plataformas de alojamiento de contenidos y en los mecanismos de aplicación.

(3)  La fragmentación resultante de los regímenes de Derecho civil que regulan la moderación de contenidos por las plataformas de alojamiento de contenidos no solo genera inseguridad jurídica, lo que podría llevar a tales plataformas a adoptar prácticas más estrictas de lo necesario con miras a minimizar los riesgos derivados de la utilización de sus servicios, sino también a una fragmentación del mercado único digital, lo que obstaculiza el crecimiento y la innovación y el desarrollo de las empresas europeas en el mercado único digital.

(4)  Habida cuenta de los efectos perjudiciales de la fragmentación del mercado único digital y la inseguridad jurídica resultante para empresas y consumidores, el carácter internacional del alojamiento de contenidos, la ingente cantidad de contenidos que precisan moderación y el poder de mercado significativo de un pequeño número de plataformas de alojamiento de contenidos situadas fuera de la Unión, las diversas cuestiones que surgen en relación con el alojamiento de contenidos deben regularse de un modo que conlleve una armonización plena y, por consiguiente, mediante un reglamento.

(5)  Con respecto a las relaciones con los usuarios, el presente Reglamento debe establecer normas mínimas en materia de equidad, transparencia y rendición de cuentas respecto de las condiciones contractuales de las plataformas de alojamiento de contenidos. Las condiciones contractuales deben ser claras, accesibles, inteligibles e inequívocas y deben incluir normas y procedimientos equitativos, transparentes, vinculantes y uniformes para la moderación de contenidos, que garanticen unas vías de recurso judicial accesibles e independientes y respeten los derechos fundamentales.

(6)  La amplificación de contenidos en función del usuario basada en las visualizaciones o en las posiciones presentadas en tales contenidos es una de las prácticas más perjudiciales de la sociedad digital, especialmente en los casos en que la visibilidad de dichos contenidos se incrementa en función de la interacción previa del usuario con otros contenidos amplificados y con el fin de optimizar los perfiles de usuario al objeto de crear publicidad personalizada.

(7)  Los algoritmos que deciden sobre la clasificación de los resultados de las búsquedas influyen en las comunicaciones e interacciones individuales y sociales y pueden determinar la formación de opinión, especialmente en el caso de contenidos de los medios de comunicación.

(8)  A fin de asegurar, entre otras cuestiones, que los usuarios puedan reivindicar sus derechos, debe dotárseles de un grado adecuado de transparencia e influencia en la curación del contenido que se les hace visible, incluida la posibilidad de renunciar completamente a toda curación de contenidos distinta del orden cronológico. En particular, los usuarios no deben estar sujetos a la curación de contenidos sin su consentimiento libre, específico, informado e inequívoco. El consentimiento dado a la publicidad personalizada no se considerará libre y válido si el acceso al servicio está supeditado al tratamiento de datos.

(9)  El consentimiento otorgado de manera general por un usuario a las condiciones contractuales de las plataformas de alojamiento de contenidos o a cualquier otra descripción general de las normas relacionadas con la gestión de contenidos por parte de las plataformas de alojamiento de contenidos no debe considerarse suficiente para presentar automáticamente al usuario contenidos curados.

(10)  El presente Reglamento no obliga a las plataformas de alojamiento de contenidos a recurrir a ninguna forma de control previo automatizado de los contenidos, a menos que se especifique de otro modo en la legislación vigente de la Unión, y dispone que los procedimientos de moderación de contenidos utilizados voluntariamente por las plataformas no deben dar lugar a medidas de control ex ante basadas en herramientas automatizadas o en el filtrado de la subida de contenidos.

(11)  El presente Reglamento debe incluir asimismo disposiciones contra las prácticas discriminatorias e inadmisibles de moderación de contenidos y contra la explotación o la exclusión para fines de moderación de contenidos, especialmente cuando se retiren contenidos creados por el usuario por razones de aspecto físico, origen étnico, género, orientación sexual, religión o creencias, discapacidad, edad, embarazo o crianza de los niños, lengua o clase social.

(12)  El derecho a emitir un aviso con arreglo al presente Reglamento debe seguir asociado a toda persona física o jurídica, incluidos los órganos públicos, a la que se faciliten contenidos a través de un sitio web o de una aplicación.

(13)  Tras la emisión de un aviso, la plataforma de alojamiento debe informar de él al cargador de contenidos, en particular del motivo del aviso y de la acción que se ha de tomar, y debe facilitarle información sobre el procedimiento —también sobre las vías de recurso y la remisión a órganos independientes de resolución de litigios— y sobre las vías de recurso disponibles en caso de falsos avisos. Sin embargo, esa información no debe facilitarse si la plataforma de alojamiento de contenidos ha sido informada por las autoridades públicas acerca de investigaciones en curso sobre el cumplimiento de la ley. En tal caso, corresponde a las autoridades pertinentes informar al cargador de contenidos de la emisión de un aviso, de conformidad con las normas aplicables.

(14)  Debe informarse a todas las partes interesadas de una decisión relativa a un aviso. La información facilitada a las partes interesadas debe incluir, además del resultado de la decisión, al menos el motivo de la decisión y si la decisión ha sido adoptada exclusivamente por un ser humano, así como la información pertinente relativa a revisiones o vías de recurso.

(15)  El contenido debe considerarse manifiestamente ilegal si, inequívocamente y sin necesidad de un examen en profundidad, infringe las disposiciones legales que regulan la legalidad de los contenidos en internet.

(16)  Habida cuenta de la naturaleza inmediata del alojamiento de contenidos y la finalidad a menudo efímera de la carga de contenidos, es necesario establecer órganos independientes de resolución de litigios con miras a garantizar un recurso extrajudicial rápido y eficiente. Estos órganos deben ser competentes para conocer de litigios relativos a la legalidad de los contenidos cargados por los usuarios y a la correcta aplicación de las condiciones contractuales. Sin embargo, este procedimiento no debe privar al usuario del derecho a acudir a la justicia e interponer un recurso judicial.

(17)  La creación de órganos independientes de resolución de litigios podría aliviar la carga que pesa sobre los tribunales al ofrecer una resolución rápida de los litigios sobre decisiones de gestión de contenidos, sin perjuicio del derecho de recurso judicial ante un tribunal. Dado que las plataformas de alojamiento de contenidos que disponen de un poder de mercado significativo pueden beneficiarse de manera especial de la creación de órganos independientes de resolución de litigios, es conveniente que contribuyan a financiarlos. Este fondo debe estar gestionado de forma independiente por la entidad europea a fin de ayudar a los Estados miembros a financiar los costes de funcionamiento de los órganos independientes de solución de diferencias. Los Estados miembros deben velar por que se dote a dichos órganos de los recursos adecuados para garantizar su competencia e independencia.

(18)  Los usuarios deben tener derecho a interponer recurso ante un órgano de resolución de litigios imparcial e independiente, como un mecanismo independiente de resolución de litigios, para impugnar una decisión adoptada por una plataforma de alojamiento de contenidos a raíz de un aviso sobre los contenidos que cargaron. Las personas que efectúen avisos deben tener este derecho si en un procedimiento civil en relación con los contenidos de que se trate habrían gozado de legitimidad procesal.

(19)  Por lo que se refiere a la competencia territorial, el órgano independiente de resolución de litigios competente debe ser el situado en el Estado miembro desde donde se haya cargado el contenido objeto del litigio. Las personas físicas siempre deben poder presentar reclamaciones ante el órgano independiente de resolución de litigios de su Estado miembro de residencia.

(20)  La denuncia de irregularidades contribuye a evitar infracciones del Derecho y a detectar amenazas o perjuicios para el interés general que de otro modo no serían advertidas. La protección de los denunciantes desempeña un papel importante en la protección de la libertad de expresión, la libertad de los medios de comunicación y el derecho del público a acceder a la información. Por consiguiente, la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (1) debe aplicarse a las infracciones pertinentes del presente Reglamento. En consecuencia, debe modificarse dicha Directiva.

(21)  El presente Reglamento debe incluir obligaciones acerca de la información sobre su aplicación y de su revisión en un plazo razonable. A tal fin, los órganos independientes de solución de diferencias previstos por los Estados miembros en virtud del presente Reglamento deben presentar informes sobre el número de asuntos que se les remitan, las decisiones adoptadas — anonimizando los datos personales según convenga — incluido el número de asuntos remitidos que tramiten, datos sobre problemas sistémicos, tendencias e identificación de plataformas que no cumplen las decisiones de órganos independientes de resolución de litigios.

(22)  Dado que el objetivo del presente Reglamento, a saber, establecer un marco regulador para los derechos contractuales en materia de gestión de contenidos en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a su dimensión y efectos, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(23)  La acción a nivel de la Unión tal como se establece en el presente Reglamento se vería sustancialmente reforzada con la creación de una entidad de la Unión encargada de la adecuada supervisión y de garantizar el cumplimiento de las disposiciones del presente Reglamento por parte de las plataformas de alojamiento de contenidos. A tal fin, la Comisión debe considerar la posibilidad de designar una agencia europea o un órgano europeo existentes o nuevos o de coordinar una red de autoridades nacionales, para revisar el cumplimiento de las normas establecidas para la gestión de contenidos sobre la base de informes de transparencia y el seguimiento de los algoritmos empleados por las plataformas de alojamiento de contenidos a efectos de gestión de contenidos (en lo sucesivo, «entidad europea»).

(24)  Con el fin de garantizar que se evalúan los riesgos que presenta la amplificación de contenidos, debe establecerse un diálogo semestral sobre el impacto de las políticas de gestión de contenidos legales sobre los derechos fundamentales entre las plataformas de alojamiento de contenidos con un poder de mercado significativo y la entidad europea, junto con las autoridades nacionales pertinentes.

(25)  El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea consagrados en los Tratados, en particular la libertad de expresión y de información, así como el derecho a tutela judicial efectiva y a un proceso imparcial.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1.- Finalidad

La finalidad del presente Reglamento es contribuir al correcto funcionamiento del mercado interior mediante el establecimiento de normas para asegurar la existencia de unos derechos contractuales justos por lo que se refiere a la gestión de contenidos y proporcionar mecanismos independientes de resolución de litigios relativos a la gestión de contenidos.

Artículo 2.- Ámbito de aplicación

1.  El presente Reglamento se aplica a las plataformas de alojamiento de contenidos que alojan y gestionan contenidos públicamente accesibles en la Unión en sitios web o mediante aplicaciones de teléfonos inteligentes, con independencia del lugar de establecimiento o de registro de la plataforma de alojamiento de contenidos o de su centro de actividad principal.

2.  El presente Reglamento no se aplica a las plataformas de alojamiento de contenidos que:

a)  no tengan carácter comercial; o

b)  tengan menos de [100 000] (2) usuarios.

Artículo 3.- Definiciones

A efectos del presente Reglamento, se entenderá por:

1)  «plataforma de alojamiento de contenidos»: un servicio de la sociedad de la información en el sentido del artículo 1, punto 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (3), cuyo propósito principal o uno de cuyos propósitos principales es permitir que los usuarios registrados o no registrados suban contenidos para su presentación en un sitio web o una aplicación públicamente accesibles;

2)  «plataforma de alojamiento de contenidos con un poder de mercado significativo»: una plataforma de alojamiento de contenidos con al menos dos de las características siguientes:

a)  la capacidad de desarrollar o conservar su base de usuarios se debe a efectos de red que producen la cautividad de una parte significativa de sus usuarios, o a que su posicionamiento en las últimas fases del mercado le permite crear una dependencia económica;

b)  un tamaño considerable en el mercado, medido bien por el número de usuarios activos, bien por el volumen de negocios global anual de la plataforma;

c)  la integración en un entorno empresarial o de red controlado por su grupo o sociedad matriz, que permite que el poder de mercado se aproveche en un mercado adyacente;

d)  la función de guardián de acceso para toda una categoría de contenidos o información;

e)  el acceso a grandes cantidades de datos personales de alta calidad, facilitados por los usuarios o deducidos respecto de los usuarios sobre la base del seguimiento de su comportamiento en línea, siendo dichos datos indispensables para prestar y mejorar un servicio similar, además de ser difícil que competidores potenciales accedan a ellos o los repliquen;

3)  «contenido»: todo concepto, idea, forma de expresión o información en cualquier formato, como texto, imágenes, audio o vídeo;

4)  «contenidos ilegales»: cualquier información que no sea conforme con el Derecho de la Unión o del Estado miembro en el que esté alojado;

5)  «gestión de contenidos»: la moderación y la curación de contenidos en plataformas de gestión de contenidos;

6)  «moderación de contenidos»: la práctica de controlar y aplicar un conjunto predeterminado de reglas y directrices relativas al contenido generado, publicado o compartido por el usuario, a fin de garantizar que el contenido sea conforme a los requisitos legales y reglamentarios, a las directrices de la comunidad y a las condiciones contractuales, así como toda medida subsiguiente tomada por la plataforma, como la retirada del contenido o la supresión o suspensión de la cuenta del usuario, ya sea por medios automáticos o por intervención de operadores humanos;

7)  «curación de contenidos»: la práctica de seleccionar, optimizar, priorizar y recomendar contenidos sobre la base de los perfiles individuales de usuario para fines de su presentación en un sitio web o una aplicación;

8)  «condiciones contractuales»: todas las condiciones o especificaciones, con independencia de su denominación y su forma, que rigen la relación contractual entre la plataforma de alojamiento de contenidos y sus usuarios y que establece unilateralmente la plataforma de alojamiento de contenidos;

9)  «usuario»: la persona natural o jurídica que utiliza los servicios prestados por una plataforma de alojamiento de contenidos o interactúa con contenidos alojados en dicha plataforma;

10)  «cargador de contenidos»: la persona física o jurídica que incorpora contenido a una plataforma de alojamiento de contenidos, con independencia de su visibilidad para otros usuarios;

11)  «aviso»: el aviso formalizado por el que se impugna la conformidad del contenido con los requisitos legales y reglamentarios, las directrices de la comunidad y las condiciones contractuales.

Artículo 4.- Principios de gestión de contenidos

1.  La gestión de contenidos se llevará a cabo de manera justa, lícita y transparente. Las prácticas de gestión de contenidos serán adecuadas, proporcionadas al tipo de contenido y a su volumen y pertinentes, y se limitarán a lo necesario en relación con los fines para los que se gestiona el contenido. Las plataformas de alojamiento de contenidos serán responsables de garantizar que sus prácticas de gestión de contenidos sean equitativas, transparentes y proporcionadas.

2.  Los usuarios no serán objeto de prácticas discriminatorias, explotación o exclusión, a efectos de moderación de contenidos por parte de las plataformas de alojamiento de contenidos, como la retirada de contenidos generados por el usuario por razones de aspecto físico, origen étnico, género, orientación sexual, religión o creencias, discapacidad, edad, embarazo o crianza de los niños, lengua o clase social.

3.  Las plataformas de alojamiento de contenidos proporcionarán a los usuarios información suficiente sobre sus perfiles de curación de contenidos y los criterios individuales con arreglo a los que las plataformas de alojamiento de contenidos curan sus contenidos, incluida la información sobre si se utilizan algoritmos y sus objetivos.

4.  Las plataformas de alojamiento de contenidos proporcionarán a sus usuarios un grado adecuado de influencia en la curación del contenido que se les hace visible, incluida la posibilidad de renunciar completamente a la curación de contenidos. En particular, los usuarios no deben estar sujetos a la curación de contenidos sin su consentimiento libre, específico, informado e inequívoco.

Artículo 5.- Diálogo estructurado sobre riesgos en materia de gestión de contenidos

Como parte de un diálogo estructurado sobre riesgos con la entidad europea junto con las autoridades nacionales pertinentes, las plataformas de alojamiento de contenidos con un poder de mercado significativo presentarán a la entidad europea un informe semestral sobre el impacto en los derechos fundamentales y sobre la gestión de riesgos aplicada sus políticas de gestión de contenidos y cómo mitigan dichos riesgos.

Artículo 6.- Obligación de transparencia

1.  Los prestadores de servicios digitales adoptarán las medidas necesarias para permitir la revelación de la financiación de cualquier agrupación de intereses con la que estén asociados los usuarios de los servicios digitales de los prestadores, así como de los pormenores de la naturaleza de la relación entre dichas agrupaciones de intereses y los usuarios. Esta revelación permitirá identificar a la persona jurídicamente responsable.

2.  Los prestadores de servicios digitales comerciales establecidos fuera de la Unión designarán un representante legal a efectos de los intereses de los usuarios en el interior de la Unión y harán visible y accesible en sus plataformas en línea la información de contacto de dicho representante.

Artículo 7.- Elegibilidad para emitir avisos

1.  Toda persona física o jurídica u organismo público a los que se proporcione contenido a través de un sitio web, una aplicación u otro tipo de software tendrá derecho a emitir un aviso conforme al presente Reglamento.

2.  Los Estados miembros establecerán sanciones para el caso de que una persona que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión presente de forma sistemática y reiterada avisos abusivos. Tales sanciones serán efectivas, proporcionadas y disuasorias.

Artículo 8.- Procedimientos de aviso

Las plataformas de alojamiento de contenidos incluirán en sus condiciones contractuales información clara, accesible, inteligible e inequívoca sobre los procedimientos de aviso, en particular:

a)  el plazo máximo para informar al cargador del contenido de que se trate de un procedimiento de aviso;

b)  el plazo de que dispone el cargador del contenido para formular una impugnación;

c)  el plazo límite para que la plataforma de alojamiento de contenidos tramite con rapidez un aviso y adopte una decisión;

d)  el plazo límite para que la plataforma de alojamiento de contenidos informe a ambas partes del resultado de su decisión y motive la acción emprendida.

Artículo 9.- Contenido de los avisos

1.  Un aviso relativo a un contenido incluirá al menos la siguiente información:

a)  un enlace al contenido en cuestión y, si procede, por lo que respecta a los contenidos de vídeo, un sello de tiempo;

b)  el motivo del aviso;

c)  pruebas que justifiquen la reclamación formulada en el aviso;

d)  una declaración jurada de la persona que efectúe el aviso; y

e)  en caso de violación de derechos de la personalidad o de derechos de la propiedad intelectual, la identidad de la persona que efectúe el aviso.

2.  En el supuesto de las violaciones a que se refiere el apartado 1, letra e), la persona que efectúe el aviso será la persona afectada por la violación de los derechos de la personalidad o el titular de los derechos de la propiedad intelectual conculcados, o una persona que actúe en su nombre.

Artículo 10.- Información al cargador de contenidos

1.  En el momento de la emisión del aviso y antes de que se tome una decisión sobre el contenido, el cargador del contenido de que se trate recibirá la información siguiente:

a)  el motivo del aviso y de la acción que podría emprender la plataforma de alojamiento de contenidos;

b)  información suficiente sobre el procedimiento que debe seguirse;

c)  información sobre el derecho de réplica establecido en el apartado 3; y

d)  información sobre las vías de recurso disponibles en caso de falso aviso.

2.  La información solicitada en virtud del apartado 1 no se facilitará si la plataforma de alojamiento de contenidos ha sido informada por las autoridades públicas de las investigaciones de las autoridades con funciones coercitivas.

3.  El cargador de contenidos tendrá derecho a responder a la plataforma de alojamiento de contenidos en forma de contraaviso. La plataforma de alojamiento de contenidos tendrá en cuenta la respuesta del cargador de contenidos cuando adopte una decisión sobre las medidas que deben tomarse.

Artículo 11.- Decisiones sobre los avisos

1.  Las plataformas de alojamiento de contenidos velarán por que las decisiones sobre los avisos sean tomadas por personal cualificado y sin demora injustificada tras las investigaciones necesarias.

2.  A raíz de un aviso, las plataformas de alojamiento de contenidos decidirán sin dilación si retirar, suprimir o inhabilitar el acceso al contenido objeto del aviso, si dicho contenido no es conforme a los requisitos legales. Sin perjuicio de lo dispuesto en el artículo 14, apartado 2, el hecho de que una plataforma de alojamiento de contenidos haya considerado que un contenido específico no es conforme no dará lugar automáticamente en ningún caso a que se retire, suprima o haga inaccesible el contenido cargado por otro usuario.

Artículo 12.- Información sobre las decisiones

Cuando una plataforma de alojamiento de contenidos haya adoptado una decisión, informará del sentido de la decisión a todas las partes interesadas en el procedimiento de aviso y les facilitarán la información siguiente de manera clara y sencilla:

a)  los motivos de la decisión;

b)  si la decisión fue tomada exclusivamente por un ser humano o con el apoyo de un algoritmo;

c)  información acerca de la posibilidad de revisión a que se refiere el artículo 13 o de recurso judicial para cada una de las partes.

Artículo 13.- Revisión de las decisiones

1.  Las plataformas de alojamiento de contenidos pueden establecer un mecanismo que permita a los usuarios solicitar una revisión de las decisiones que adopten.

2.  Las plataformas de alojamiento de contenidos con un poder de mercado significativo establecerán el mecanismo de revisión a que se refiere el apartado 1.

3.  En todos los casos, la decisión final de la revisión será tomada por un ser humano.

Artículo 14.- Retirada de contenidos

1.  Sin perjuicio de eventuales órdenes judiciales o administrativas relativas al contenido en línea, el contenido que haya sido objeto de un aviso permanecerá visible mientras esté en curso el examen de su legalidad.

2.  Las plataformas de alojamiento de contenidos actuarán con prontitud para hacer inaccesibles o retirar contenidos manifiestamente ilegales.

Artículo 15.- Resolución de litigios independiente

1.  Los Estados miembros establecerán órganos independientes de resolución de litigios con la finalidad de ofrecer una vía de recurso extrajudicial rápida y eficiente cuando se impugnen decisiones en materia de moderación de contenidos.

2.  Los órganos independientes de resolución de litigios estarán compuestos por expertos jurídicos independientes con el mandato de conocer de las diferencias entre plataformas de alojamiento de contenidos y usuarios en cuanto a la conformidad del contenido de que se trate con los requisitos legales y administrativos, las directrices de la comunidad y las condiciones.

3.  La remisión de un litigio relacionado con la moderación de contenidos a un órgano independiente de resolución de litigios no será óbice para que el usuario acuda a los tribunales, a menos que la diferencia se resuelva de común acuerdo.

4.  Las plataformas de alojamiento de contenidos con un poder de mercado significativo contribuirán a financiar los costes de funcionamiento de los órganos independientes de resolución de litigios a través de un fondo específico gestionado por la entidad europea, con el fin de ayudar a los Estados miembros a financiar dichos órganos. Los Estados miembros garantizarán que los órganos independientes de resolución de litigios estén dotados de los recursos adecuados para garantizar su competencia e independencia.

Artículo 16.- Normas de procedimiento para una resolución de litigios independiente

1.  El cargador de contenidos así como un tercero, por ejemplo un mediador con un interés legítimo para actuar, tendrán derecho a remitir asuntos relacionados con la moderación de contenidos al órgano independiente de resolución de litigios cuando la plataforma de alojamiento de contenidos haya decidido retirar o suprimir un contenido o impedir el acceso al mismo, o actúe de manera contraria a las preferencias expresadas por el cargador de contenidos o de tal modo que conculque derechos fundamentales.

2.  Cuando la plataforma de alojamiento de contenidos decida no retirar un contenido objeto de un aviso, la persona que efectúe el aviso tendrá derecho a someter el asunto al órgano independiente de resolución de litigios competente, siempre que tenga legitimación procesal para ser parte en un procedimiento civil relativo al asunto en cuestión.

3.  Por lo que se refiere a la competencia territorial, el órgano independiente de resolución de litigios competente debe ser el situado en el Estado miembro desde donde se haya cargado el contenido objeto del litigio. Las personas físicas podrán presentar en todos los casos reclamaciones ante el órgano independiente de resolución de litigios de su Estado miembro de residencia.

4.  Cuando la persona que efectúe el aviso tenga derecho a someter un asunto de moderación de contenidos a un órgano independiente de resolución de litigios de conformidad con el apartado 2, la persona que efectúe el aviso podrá someter el asunto al órgano independiente de resolución de litigios situado en el Estado miembro de residencia habitual de la persona que efectúe el aviso o del cargador de contenidos si este último está utilizando el servicio para fines no comerciales.

5.  Cuando un caso de moderación de contenidos relacionado con la misma cuestión sea objeto de remisión a otro órgano independiente de resolución de litigios, el órgano independiente de resolución de litigios podrá suspender el procedimiento en lo que respecta a la remisión. Cuando una cuestión de moderación de contenidos haya sido objeto de recomendaciones por parte de un órgano independiente de resolución de litigios, el órgano independiente de resolución de litigios podrá denegar la tramitación de una remisión.

6.  Los Estados miembros establecerán todas las demás normas y los procedimientos necesarios para los órganos independientes de resolución de litigios de su territorio.

Artículo 17.- Datos personales

Todo tratamiento de datos personales en virtud del presente Reglamento debe ser conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y a la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5).

Artículo 18.- Denuncia de infracciones y condiciones de protección de los denunciantes

La Directiva (UE) 2019/1937 se aplicará a la denuncia de infracciones al presente Reglamento y a las personas que las denuncien.

Artículo 19.- Enmiendas a la Directiva (UE) 2019/1937

La Directiva (UE) 2019/1937 se modifica como sigue:

1)  En el artículo 2, apartado 1, letra a), se añade el inciso siguiente:

«xi) gestión de contenidos en línea;»;

2)  En la parte I del anexo, se añade la letra siguiente:

«K. Artículo 2, apartado 1, letra a), inciso xi) – Gestión de contenidos en línea.

Reglamento [XXX] del Parlamento Europeo y del Consejo relativo a los derechos contractuales en lo referente a la gestión de contenidos».

Artículo 20.- Información, evaluación y revisión

1.  Los Estados miembros proporcionarán a la Comisión toda la información pertinente relativa a la ejecución y aplicación del presente Reglamento. Sobre la base de la información facilitada y de la consulta pública, la Comisión, no más tarde del … [tres años después de la entrada en vigor del presente Reglamento], presentará un informe al Parlamento Europeo y al Consejo sobre la aplicación del presente Reglamento, y examinará la necesidad de tomar medidas adicionales, incluyendo, si procede, de modificar el presente Reglamento.

2.  Sin perjuicio de las obligaciones de información establecidas en otros actos legislativos de la Unión, los Estados miembros presentarán anualmente las siguientes estadísticas a la Comisión:

a)  el número de litigios remitidos a órganos independientes de resolución de litigios y los tipos de contenido que fueron objeto de litigio;

b)  el número de asuntos resueltos por los órganos independientes de resolución de litigios, clasificados según los resultados.

Artículo 21.- Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del [XX].

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en …,

Por el Parlamento Europeo           Por el Consejo

El Presidente                                    El Presidente

——————————————–

(1) Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (DO L 305 de 26.11.2019, p. 17).

(2) Cuando determine el número de usuarios, la Comisión debe tener en cuenta la situación de las pymes y las empresas emergentes.

(3) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

09Mar/21

Resolución Directoral nº 43-2018-JUS/DGTAIPD de 3 de julio de 2018

Resolución Directoral nº 43-2018-JUS/DGTAIPD de 3 de julio de 2018. Resolución Directoral que aprueba modelo de cláusula informativa sobre las circunstancias y condiciones del tratamiento de datos personales requeridas por el artículo 18 de la Ley 29733 de Protección de Datos Personales.

Resolución Directoral nº 43 -2018-JUS/DGTAIPD

Lima, 03 de julio de 2018.

CONSIDERANDO:

Que, la Ley nº 29733, Ley de Protección de Datos Personales (en adelante, LPDP), tiene por objeto garantizar el derecho fundamental a la protección de datos personales, previsto en el artículo 2, numeral 6 de la Constitución Política del Perú;

Que, el artículo 18 de la LPDP dispone «El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o del os encargados del tratamiento de sus datos personales; el carácter obligatorio  o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley Je concede y los medios previstos para ello.

Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.

En el caso que el titular del banco de datos establezca vinculación con un encargado de tratamiento de manera posterior al consentimiento, el accionar del encargado queda bajo responsabilidad del Titular del Banco de Datos, debiendo establecer un mecanismo de información personalizado para el titular de los datos personales sobre dicho nuevo encargado de tratamiento.

Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento».

Que, conforme a lo dispuesto en el citado artículo 18 de la LPDP, la obligación de informar recae en el titular del banco de datos personales (1) o responsable del tratamiento (2), asimismo, esta información se debe poner a disposición de los interesados en el momento que se soliciten los datos, previamente a la recopilación o registro;

Que, los procedimientos de recopilación de datos personales pueden ser muy variados y, en consecuencia, los modos de informar a las personas deben adaptarse a las circunstancias de cada uno de los medios empleados para la recogida de los datos personales como podría ser a través de formularios en papel, entrevista telefónica, navegación o formularios web, registro de aplicaciones móviles, entre otros;

Que, en caso, haya cambios sobre el encargado de tratamiento, o transferencia de datos a un nuevo titular del banco de datos, el artículo 18º de la LPDP dispone que debe comunicarse, en tal sentido esta información puede hacerse llegar al titular de los datos personales, entre otros, por medio de correo postal, mensajería electrónica, notificaciones emergentes en servicios o aplicaciones;

Que, siendo una función de la Autoridad Nacional de Protección de Datos Personales, velar por el cumplimiento de la legislación vinculada con la protección de datos personales, es necesario aprobar un modelo de clausula informativa, que permita orientar a las entidades públicas y privadas, así como a las personas naturales que realizan tratamiento de datos, acerca de las mejores prácticas para dar cumplimiento a la obligación de informarles a los titulares de los datos acerca de las circunstancias y condiciones del tratamiento de sus datos personales que efectúen, así como de los derechos que les asisten.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley n° 29733, Ley de Protección de Datos Personales, y su reglamento aprobado por el Decreto Supremo nº 003-2013-JUS;

SE RESUELVE:

Artículo 1.- Aprobar el modelo de cláusula informativa sobre las circunstancias y condiciones del tratamiento de datos personales requeridas por el artículo 18 de la Ley n° 29733, Ley de Protección de datos Personales.

Artículo 2.- Publicar en la página web del Ministerio de Justicia y Derechos Humanos la citada cláusula.

Regístrese, comuníquese y publíquese.

——————————————————————–

(1) Ley n° 29733. Ley de Protección de Datos Personales:

Articulo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por:

(…)

17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

(2) Reglamento de la Ley nº 29733. Ley de Protección de Datos Personales. aprobado por Decreto Supremo nº 003-2013-JUS:

Artículo 2.- Definiciones.

Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:

(…)

14. Responsable del tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.

02Mar/21

Decreto Supremo nº 029-2021-PCM, de 18 de febrero de 2021

Decreto Supremo nº 029-2021-PCM, de 18 de febrero de 2021, que aprueba el Reglamento del Decreto Legislativo n° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo

DECRETO SUPREMO nº 029-2021-PCM

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, a través del Decreto de Urgencia nº 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, se crea el referido sistema como un Sistema Funcional del Poder Ejecutivo, conformado por un conjunto de principios, normas, procedimientos, técnicas e instrumentos mediante los cuales se organizan las actividades de la administración pública y se promueven las actividades de las empresas, la sociedad civil y la academia orientadas a alcanzar los objetivos del país en materia de transformación digital;

Que, el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, tiene por objeto establecer las medidas que resulten necesarias para garantizar la confianza de las personas en su interacción con los servicios digitales prestados por entidades públicas y organizaciones del sector privado en el territorio nacional;

Que, el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, establece el marco de gobernanza del gobierno digital para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales por parte de las entidades de la Administración Pública en los tres niveles de gobierno;

Que, conforme a lo dispuesto en el artículo 8 del Decreto Legislativo nº 1412, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector en materia de gobierno digital, el cual comprende tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos, seguridad digital y arquitectura digital; dictando para tal efecto las normas y procedimientos en dicha materia;

Que, asimismo, la Primera Disposición Complementaria Final del referido Decreto Legislativo dispone que la Presidencia del Consejo de Ministros, mediante Decreto Supremo, aprueba el Reglamento de la Ley de Gobierno Digital;

Que, el artículo 47 del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Decreto Supremo nº 022-2017-PCM, establece que la Secretaría de Gobierno Digital es el órgano de línea, con autoridad técnico normativa a nivel nacional, responsable de formular y proponer políticas nacionales y sectoriales, planes nacionales, normas, lineamientos y estrategias en materia de Informática y de Gobierno Electrónico;

Que, mediante Decreto Supremo nº 004-2019-JUS se aprobó el Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, a través del cual se establecen las normas comunes para las actuaciones de la función administrativa del Estado y se regula los procedimientos administrativos desarrollados en las entidades, incluyendo el procedimiento administrativo electrónico y el uso de la casilla única electrónica;

Que, asimismo, los numerales 20.4 del artículo 20 y 30.4 del artículo 30 del Texto Único Ordenado de la Ley nº 27444 disponen que mediante Decreto Supremo refrendado por la Presidencia del Consejo de Ministros, se aprueban los criterios, condiciones, mecanismos y plazos para la implementación de la casilla única electrónica, y los lineamientos para establecer las condiciones y uso de las tecnologías y medios electrónicos en los procedimientos administrativos, junto a sus requisitos, respectivamente;

De conformidad con el inciso 8) del artículo 118 de la Constitución Política del Perú, la Ley nº 29158, Ley Orgánica del Poder Ejecutivo, el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y el Decreto Supremo nº 004-2019-JUS, que aprueba el Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General;

DECRETA:

Artículo 1. Aprobación

Apruébase el Reglamento del Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, el mismo que consta de ocho (08) Títulos, veintiún (21) Capítulos, ciento veintiún (121) Artículos, cincuenta y dos (52) Disposiciones Complementarias Finales, cuatro (04) Disposiciones Complementarias Transitorias, seis (06) Disposiciones Complementarias Modificatorias, una (01) Disposición Complementaria Derogatoria y un (01) Anexo, el mismo que forma parte integrante del presente Decreto Supremo.

Artículo 2. Publicación

Publícase el presente Decreto Supremo y el Reglamento, aprobado mediante el artículo precedente, en la Plataforma Digital Única para Orientación al Ciudadano (www.gob.pe), y en los portales institucionales de los ministerios cuyos titulares lo refrendan, el mismo día de su publicación en el Diario Oficial El Peruano.

Artículo 3. Financiamiento

La implementación de lo establecido en el presente Decreto Supremo se financia con cargo al presupuesto institucional de las entidades involucradas, sin demandar recursos adicionales al Tesoro Público.

Artículo 4. Refrendo

El presente Decreto Supremo es refrendado por la Presidenta del Consejo de Ministros, el Ministro de Economía y Finanzas, el Ministro de Justicia y Derechos Humanos, el Ministro del Interior, la Ministra de Defensa y el Ministro de Cultura.

Dado en la Casa de Gobierno, en Lima, a los dieciocho días del mes de febrero del año dos mil veintiuno.

FRANCISCO RAFAEL SAGASTI HOCHHAUSLER. Presidente de la República

VIOLETA BERMÚDEZ VALDIVIA. Presidenta del Consejo de Ministros

WALDO MENDOZA BELLIDO. Ministro de Economía y Finanzas

EDUARDO VEGA LUNA. Ministro de Justicia y Derechos Humanos

JOSÉ MANUEL ANTONIO ELICE NAVARRO. Ministro del Interior

NURIA ESPARCH FERNÁNDEZ. Ministra de Defensa

ALEJANDRO ARTURO NEYRA SÁNCHEZ. Ministro de Cultura

REGLAMENTO DEL DECRETO LEGISLATIVO nº 1412, DECRETO LEGISLATIVO QUE APRUEBA LA LEY DE GOBIERNO DIGITAL, Y ESTABLECE DISPOSICIONES SOBRE LAS CONDICIONES, REQUISITOS Y USO DE LAS TECNOLOGÍAS Y MEDIOS ELECTRÓNICOS EN EL PROCEDIMIENTO ADMINISTRATIVO

TÍTULO I.- DISPOSICIONES GENERALES

Artículo 1. Objeto

El presente Reglamento tiene por objeto:

1.1 Regular las actividades de gobernanza y gestión de las tecnologías digitales en las entidades de la Administración Pública en materia de Gobierno Digital, que comprende la identidad digital, interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, así como establecer el marco jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales en los tres niveles de gobierno, conforme lo señalado en el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital (en adelante la Ley), con observancia de los deberes y derechos fundamentales previstos en la Constitución Política del Perú y en los tratados internacionales de derechos humanos y otros tratados internacionales ratificados por el Perú; y,

1.2 Establecer las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, y los criterios, condiciones, mecanismos y plazos de implementación de la casilla única electrónica, conforme lo establecido en los numerales 20.4 del artículo 20 y 30.4 del artículo 30 del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS (en adelante el TUO de la Ley nº 27444).

Artículo 2. Ente Rector

2.1 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, ejerce la rectoría del Sistema Nacional de Transformación Digital en el país y en las materias de Gobierno, Confianza y Transformación Digital, siendo la autoridad técnico-normativa a nivel nacional en dichas materias. Asimismo, es el Líder Nacional de Gobierno Digital responsable del proceso de transformación digital en el país y dirección estratégica del Gobierno Digital en el Estado Peruano, conforme a lo dispuesto en el artículo 8 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital, para lo cual en el ejercicio de sus funciones articula acciones con las entidades de la Administración Pública, la sociedad civil, los ciudadanos la academia y el sector privado.

2.2 La materia de Gobierno Digital comprende los ámbitos de tecnologías digitales, identidad digital, interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, los cuales se relacionan entre sí con la finalidad de mejorar la prestación de servicios centrados en los ciudadanos, la gestión interna de las entidades de la Administración Pública y la relación entre éstas en la prestación interadministrativa de servicios públicos de manera segura para fortalecer la confianza y satisfacer las necesidades de los ciudadanos y personas en general en el entorno digital, orientado a la transformación digital del Estado.

Artículo 3. Gobernanza digital

3.1 La gobernanza digital es el conjunto de roles, estructuras, procesos, herramientas y normas para articular, dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales y datos en el Estado Peruano y el proceso de transformación digital en el país, de conformidad con el artículo 3 de la Ley. El gobierno digital es el uso estratégico de las tecnologías digitales y datos en la Administración Pública para la creación de valor público, de conformidad con lo establecido en el artículo 6 de la Ley.

3.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la entidad responsable de ejercer la gobernanza digital del uso transversal y adopción estratégica de las tecnologías digitales y datos en el Estado Peruano, del proceso de transformación digital en el país, y de los marcos de identidad digital, interoperabilidad, servicios digitales, datos, gobernanza, gestión y reestructuración de modelos de datos, seguridad digital y arquitectura digital del Estado Peruano. Asimismo, emite las normas, lineamientos, especificaciones, guías, directivas y estándares para su aplicación por parte de las entidades de la Administración Pública.

3.3 La Secretaría de Gobierno Digital establece los mecanismos de articulación de la gobernanza digital con las entidades de la Administración Pública, los ciudadanos, la sociedad civil, la academia y el sector privado, desde un enfoque multidisciplinario, sistémico, holístico e integral en base a los desafíos de una sociedad digital, con pleno respeto de los derechos de los ciudadanos y personas en el entorno digital.

Artículo 4. Mecanismos de articulación de la Gobernanza Digital

4.1 El Comité de Alto Nivel por un Perú Digital, Innovador y Competitivo, en el marco de la Ley, es el mecanismo de articulación multisectorial para la promoción de acciones relacionadas con el desarrollo del gobierno digital y la integración de la sociedad civil, el sector privado, la academia y los ciudadanos en una sociedad digital.

4.2 El Comité de Gobierno Digital es el mecanismo de gobernanza a nivel institucional en las entidades públicas y su actuar se rige de conformidad con lo establecido en el Decreto de Urgencia nº 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital y sus normas reglamentarias. El Comité de Gobierno Digital coordina y remite el portafolio de proyectos definido en el Plan de Gobierno Digital a la Comisión de Planeamiento Estratégico de la entidad o la que haga sus veces, para su evaluación, priorización e incorporación en sus instrumentos de gestión, tales como, el plan estratégico institucional, plan anual de contrataciones y plan operativo institucional.

4.3 El Laboratorio de Gobierno y Transformación Digital del Estado es el mecanismo de gobernanza e innovación abierta para co-crear, producir, innovar, prototipar y diseñar plataformas digitales, soluciones tecnológicas y servicios digitales con las entidades públicas, fomentar el desarrollo del talento digital, el uso de tecnologías emergentes, disruptivas y el impulso de una sociedad digital, de la información y el conocimiento con la colaboración de la academia, el sector privado, la sociedad civil y los ciudadanos.

Artículo 5. Opinión técnica previa de proyectos de tecnologías digitales de carácter transversal

5.1 Los titulares de las entidades de la Administración Pública solicitan opinión a la Secretaría de Gobierno Digital, sobre los proyectos de tecnologías digitales de carácter transversal en materia de interoperabilidad, seguridad digital, identidad digital, datos y gobernanza de datos, arquitectura digital, servicios digitales y tecnologías de la información aplicables a la materia de Gobierno Digital y transformación digital, identificando a las entidades involucradas en su gestión e implementación. Los proyectos definidos son incorporados en los portafolios de proyectos de los Planes de Gobierno Digital e instrumentos de gestión (PEI, POI) de las entidades responsables e involucradas. La Secretaría de Gobierno Digital incorpora dichos proyectos en la Agenda Digital Perú o documento equivalente vigente y supervisa la implementación.

5.2 La Secretaría de Gobierno Digital emite opinión técnica previa a fin de validar técnicamente si los proyectos referidos en el numeral 5.1, cumplen con lo establecido en la Ley, el Reglamento y normas complementarias, así como con los criterios de: accesibilidad, usabilidad, estandarización y escalabilidad, cuando corresponda.

5.3 En el caso de aquellos servicios digitales provistos a través de ventanillas únicas, así como para la implementación de ventanillas únicas digitales, la Secretaría de Gobierno Digital emite opinión previa a fin de validar técnicamente si dichos servicios cumplen con lo establecido en la Ley, el Reglamento y normas complementarias, así como con los criterios de: accesibilidad, usabilidad, estandarización y escalabilidad.

5.4 La opinión técnica previa favorable de la Secretaría de Gobierno Digital a la que hace referencia los numerales 5.2 y 5.3 habilita a la entidad proponente continuar con la implementación del proyecto de tecnologías digitales correspondiente.

5.5 El plazo para la emisión de la referida opinión técnica es de quince (15) días hábiles. Este plazo se computa desde la fecha de cumplimiento en la presentación de la documentación requerida por la Secretaría de Gobierno Digital, pudiendo ser ampliado por un periodo similar dependiendo de la complejidad y alcance del proyecto. La Secretaría de Gobierno Digital emite los lineamientos que contienen los procedimientos y documentación para la emisión de la opinión técnica previa de proyectos de tecnologías digitales de carácter transversal.

5.6 La Secretaría de Gobierno Digital brinda asistencia técnica y acompañamiento a las entidades públicas en el proceso de formulación o diseño de proyectos de tecnologías digitales de carácter transversal de mediana o alta complejidad, a fin de asegurar una base de conocimiento y mejores prácticas.

Artículo 6. Opinión técnica vinculante

6.1 La Secretaría de Gobierno Digital emite opinión técnica vinculante cuando considera necesario aclarar, interpretar o integrar las normas que regulan la materia de gobierno digital.

6.2 La opinión técnica vinculante se emite en el marco de una consulta formulada por una entidad o de oficio. Se formaliza mediante un informe técnico en el cual se califica a la opinión técnica como vinculante determinando si sus efectos son generales o de alcance al caso en particular.

6.3 La opinión técnica vinculante de efectos generales adquiere carácter obligatorio para todas las entidades desde su publicación en la página institucional de la Presidencia del Consejo de Ministros.

6.4 La recurrencia de interpretaciones divergentes acerca del alcance de una determinada norma o la reiteración de consultas similares sobre esta, son criterios para que la Secretaría de Gobierno Digital considere calificar a una opinión técnica como vinculante.

Artículo 7. Opinión técnica especializada

7.1 La Secretaría de Gobierno Digital, en su calidad de autoridad técnico normativa del Sistema Nacional de Transformación Digital y en el marco de sus competencias, emite opinión técnica especializada sobre consultas vinculadas a la materia de Gobierno Digital que comprende los ámbitos de tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos y gobernanza de datos, seguridad digital y arquitectura digital, incluyendo consultas en materia de tecnologías emergentes, tecnologías disruptivas, tendencias tecnológicas, y riesgos tecnológicos existentes.

7.2 La emisión de la opinión técnica especializada se emite en el marco de una consulta formulada por una entidad. Constituye una instancia consultiva de soporte a la adopción de decisiones individuales de cada entidad en el marco de sus competencias.

Artículo 8. Gestión de las tecnologías digitales

Las unidades de organización de tecnologías de la información o las que hagan sus veces en las entidades públicas son responsables de la planificación, implementación, ejecución y supervisión del uso y adopción de las tecnologías digitales como habilitantes de la implementación de la cadena de valor, soluciones de negocio, modelos de negocio o similares priorizadas en el marco de los instrumentos de gestión de la entidad, con el propósito de permitir alcanzar sus objetivos estratégicos, crear valor público y cumplir con lo establecido por el Comité de Gobierno Digital institucional.

TÍTULO II.- IDENTIDAD DIGITAL

CAPÍTULO I.- MARCO DE IDENTIDAD DIGITAL DEL ESTADO PERUANO

Artículo 9. Marco de Identidad Digital del Estado Peruano

9.1 El Marco de Identidad Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la identidad digital en el país, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para la aplicación de la identidad digital por parte de las entidades de la Administración Pública a fin de garantizar la identificación y autenticación de los ciudadanos y personas en general cuando acceden a los servicios digitales.

9.2 El Marco de Identidad Digital del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la utilización, implementación, digitalización de procesos y prestación de servicios digitales brindados por las entidades de la Administración Pública a los ciudadanos y personas en general.

9.3 El Marco de Identidad Digital del Estado Peruano comprende la gestión de la identidad digital en los siguientes ámbitos:

a) Ámbito de la interacción de los peruanos con servicios digitales provistos por las entidades de la Administración Pública.

b) Ámbito de la interacción de los extranjeros con servicios digitales provistos por las entidades de la Administración Pública.

9.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los ámbitos establecidos en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Decreto Supremo refrendado por la Presidencia del Consejo de Ministros.

9.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, promueve el reconocimiento transfronterizo de la identidad digital de los peruanos en coordinación con las entidades nacionales competentes.

Artículo 10. Principios del Marco de Identidad Digital del Estado Peruano

La aplicación del Marco de Identidad Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Inclusión. Toda persona natural que tiene asignado un código único de identificación (CUI) o código único de extranjero (CUE) que necesite interactuar con las entidades de la Administración Pública tiene derecho a una identidad digital.

b) Identificador único. Toda persona natural que accede a un servicio digital provisto por una entidad de la Administración Pública utiliza su respectivo identificador único que le permite distinguirse de otros.

c) No discriminación. No se niega validez, ni efectos jurídicos, ni fuerza ejecutoria a la verificación de la identidad de una persona natural realizada a través de los servicios de autenticación establecidos en el Marco de Identidad Digital del Estado Peruano por la sola razón de que se presta en forma electrónica.

d) Equivalencia funcional de la verificación de la identidad. Cuando se requiera la verificación de la identidad de una persona natural, ese requisito se da por cumplido si se utiliza los servicios de autenticación establecidos en el Marco de Identidad Digital del Estado Peruano.

Artículo 11. Modelo de Identidad Digital del Estado Peruano

11.1 El Modelo de Identidad Digital es la representación holística y sistémica de los componentes que comprende el Marco de Identidad Digital del Estado Peruano, atendiendo los principios establecidos en el artículo 10 del presente Reglamento y la Ley.

11.2 El Modelo de Identidad Digital del Estado Peruano comprende los siguientes componentes:

a) Principios

b) Ciudadanos digitales

c) Gestores de la identidad digital

d) Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE)

e) Atributos de identidad digital

f) Proveedores de atributos de identidad complementarios

g) Credenciales de autenticación

Artículo 12. Ciudadano Digital

12.1 Los ciudadanos digitales son aquellas personas naturales que cumplen, como mínimo, con los siguientes requisitos obligatorios:

a) Tienen atributos de identidad inherentes.

b) Cuentan con una casilla única electrónica.

c) Cuentan con credenciales de autenticación emitidas, entregadas y/o habilitadas dentro del marco del presente Reglamento.

12.2 Los ciudadanos digitales tienen las siguientes obligaciones:

a) Desenvolverse en el entorno digital de acuerdo con las normas del derecho común y buenas costumbres.

b) Facilitar a las entidades públicas información oportuna, veraz, completa y adecuada, asumiendo responsabilidad sobre ello.

c) Resguardar, custodiar y utilizar sus credenciales de autenticación de manera diligente y manteniendo el control de éstas.

d) No afectar la disponibilidad de los servicios digitales, ni alterarlos, ni hacer uso no autorizado o indebido de los mismos.

e) Respetar las políticas de seguridad y privacidad de la información establecida por los servicios digitales.

f) Ejercer la responsabilidad sobre el uso de sus datos y acciones en su interacción con las entidades públicas en el entorno digital.

g) Otros que establezca la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

12.3 Los ciudadanos digitales tienen los siguientes derechos:

a) Derecho fundamental a la igualdad, garantizando su libre, igualitario y no discriminado acceso, con especial incidencia en las poblaciones vulnerables, en atención a lo previsto en el artículo 2 numeral 2 de la Constitución Política del Perú.

b) Derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, y conforme a lo establecido en la Ley nº 29733, Ley de Protección de Datos Personales y su Reglamento.

c) Derecho fundamental de acceder a la información considerando lo establecido sobre el secreto bancario y la reserva tributaria de acuerdo con lo previsto en el artículo 2 numeral 5 de la Constitución Política del Perú y el artículo 85 del Código Tributario.

d) Derecho fundamental al honor y a la buena reputación, intimidad personal y familiar, en atención a lo previsto en el artículo 2 numeral 7 de la Constitución Política del Perú.

e) Los demás derechos fundamentales previstos en la Constitución Política del Perú y en los tratados internacionales de derechos humanos ratificados por el Perú, atendiendo a cada situación en particular.

f) Derecho a relacionarse por canales digitales y haciendo uso de medios electrónicos con las entidades de la Administración pública, conforme al marco legal.

g) Derecho a elegir la modalidad de relacionarse con la Administración pública por medios tradicionales o digitales, siempre que la norma de la materia lo permita; ello sin perjuicio de que se establezca la obligatoriedad del uso de un canal digital en una disposición legal.

h) Derecho a no aportar datos ni presentar documentos que poseen las entidades públicas.

Artículo 13. Gestores de la Identidad Digital

13.1 Los Gestores de la Identidad Digital (GID) son las entidades que proveen servicios de identificación y autenticación de personas naturales en el entorno digital, y están constituidas por:

a) El Registro Nacional de Identificación y Estado Civil (RENIEC) que gestiona el otorgamiento, el registro y la acreditación de la identidad digital nacional de los peruanos.

b) La Superintendencia Nacional de Migraciones (MIGRACIONES) que gestiona el otorgamiento, el registro y la acreditación de la identidad digital de los extranjeros.

13.2 Para la gestión de la identidad digital los GID tienen las siguientes obligaciones:

a) Llevar a cabo el registro y la recopilación de los atributos inherentes de identidad digital, realizar actividades de comprobación y verificación de la identidad digital, y efectuar la vinculación de las credenciales de autenticación de la identidad digital.

b) Mantener actualizados los atributos inherentes de la identidad digital.

c) Administrar las credenciales de autenticación de la identidad digital de conformidad con las disposiciones establecidas en la Ley, su Reglamento y normas complementarias, en particular para:

(i) la emisión, entrega y activación;

(ii) la suspensión, revocación y reactivación; y

(iii) la renovación y sustitución.

d) Autenticar a los ciudadanos digitales mediante los mecanismos de autenticación establecidos en el presente Capítulo.

e) Garantizar la disponibilidad, continuidad y el funcionamiento adecuado de sus servicios.

f) Divulgar información acerca de sus servicios de autenticación en sus canales digitales.

g) Brindar asistencia técnica a los Proveedores Públicos de Servicios Digitales para garantizar su integración con sus servicios de autenticación, en coordinación con la Secretaría de Gobierno Digital.

h) Coordinar con la Secretaría de Gobierno Digital y proporcionarle las herramientas e instrumentos para la supervisión y promoción de los servicios de autenticación de la identidad digital.

i) Publicar datos en formatos abiertos sobre el uso de los servicios de autenticación de la Plataforma ID GOB.PE en la Plataforma Nacional de Datos Abiertos.

13.3 En caso se produzca una falla de seguridad, caída del servicio o una pérdida de integridad que repercuta de manera considerable en el sistema de información de gestión de la identidad digital, en particular, en los atributos que se administran en él, los GID tienen las siguientes obligaciones:

a) Comunicar al Centro Nacional de Seguridad Digital la falla de seguridad o pérdida de integridad que se haya producido, conforme lo establecido en el artículo 107 del presente Reglamento.

b) Subsanar la falla de seguridad o la pérdida de integridad.

c) Suspender las credenciales de autenticación de la identidad digital que resulten afectadas hasta que se subsane la falla de seguridad o la pérdida de integridad.

d) Restablecer las credenciales de autenticación de la identidad digital que hayan resultado afectadas.

e) Revocar las credenciales de autenticación de la identidad digital que hayan resultado afectadas si la falla o la pérdida no puede subsanarse.

f) Atender las disposiciones del Título VII del presente Reglamento en lo que corresponda.

13.4 Para la gestión de la identidad digital en el país la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, desarrolla servicios de autenticación de la identidad digital en el marco de lo establecido en el presente Reglamento, para lo cual:

a) Hace uso de los servicios de información publicados en la Plataforma de Interoperabilidad del Estado (PIDE).

b) Es un Gestor de la Identidad Digital para la autenticación de la identidad digital de personas naturales.

Artículo 14. Plataforma Nacional de Identificación y Autenticación de la Identidad Digital

14.1 Créase la Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE) como la plataforma digital que permite autenticar en línea la identidad de una persona natural que tiene asignado un CUI o CUE. La gobernanza y gestión de la Plataforma ID GOB.PE está a cargo de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

14.2 La Plataforma ID GOB.PE está conformada, como mínimo, por dos (02) servicios:

a) El servicio de autenticación para peruanos gestionado por el RENIEC como Gestor de la Identidad Digital para los peruanos.

b) El servicio de autenticación para extranjeros gestionado por MIGRACIONES como Gestor de la Identidad Digital para los extranjeros.

14.3 La Plataforma ID GOB.PE proporciona el servicio de autenticación a todos los Proveedores Públicos de Servicios Digitales considerando los niveles de confianza en la autenticación definidos en el artículo 15 del presente Reglamento. Asimismo, puede ser utilizada para el ejercicio del voto electrónico no presencial en los procesos electorales organizados por la Oficina Nacional de Procesos Electorales.

14.4 Los servicios de autenticación de la Plataforma ID GOB.PE utilizan protocolos seguros, interoperables, flexibles y reconocidos por estándares internacionales.

14.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las condiciones de uso, protocolos de integración y gestión de indicadores de la Plataforma ID GOB.PE. Asimismo, emite las normas y disposiciones con respecto a la adopción de la Plataforma ID GOB.PE por parte de las entidades de la Administración Pública, así como también establece otros servicios de autenticación de la identidad digital.

Artículo 15. Niveles de Confianza en la Autenticación

Los niveles de confianza en la autenticación (NCA) con la Plataforma ID GOB.PE son:

a) Nivel 1: Provee un nivel de confianza básico respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de por lo menos un (01) factor de autenticación.

b) Nivel 2: Provee un nivel de confianza razonable respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de dos (02) factores de autenticación diferentes entre sí.

c) Nivel 3: Provee un alto nivel de confianza respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de dos (02) factores de autenticación diferentes entre sí, debiendo uno de ellos estar basado en un módulo criptográfico resistente a manipulaciones.

Artículo 16. Eficacia jurídica y carga de la prueba

16.1 La eficacia jurídica de la autenticación realizada con la Plataforma ID GOB.PE es condicionada y proporcional al nivel de confianza empleado en la autenticación.

16.2 En caso de controversia con relación a autenticaciones realizadas con la Plataforma ID GOB.PE, con niveles 1 o 2 de confianza, la carga de la prueba recae en el correspondiente gestor de la identidad digital; sin embargo, cuando la controversia, sea por autenticaciones con nivel 3 de confianza, la carga de la prueba recae en quien la niegue. En caso de no utilizarse la Plataforma ID GOB.PE, la carga probatoria recae en el Proveedor Público del Servicio Digital.

Artículo 17. Atributos de Identidad Digital

17.1 Los atributos de identidad digital son aquellos datos que en conjunto individualizan y caracterizan a un ciudadano digital.

17.2 Los atributos de identidad digital se clasifican en inherentes y complementarios.

17.3 Los atributos inherentes son aquellos atributos que permiten distinguir a un ciudadano digital como distinto de otros dentro del contexto del Estado Peruano y son un requisito para ser un ciudadano digital.

17.4 Los atributos inherentes son:

a) Código único de identificación (CUI) para peruanos o código único de extranjero (CUE) para extranjeros (obligatorio).

b) Nombres y apellidos (obligatorio).

c) Fecha de nacimiento (obligatorio).

d) Lugar de nacimiento (obligatorio).

e) Nacionalidad (obligatorio).

f) Dirección (opcional).

g) Dirección de correo electrónico personal y/o número de teléfono celular (obligatorio).

17.5 Los atributos inherentes de los peruanos son administrados por el Registro Nacional de Identificación y Estado Civil, y los atributos inherentes de los extranjeros son administrados por la Superintendencia Nacional de Migraciones.

17.6 Los atributos complementarios son aquellos atributos que en conjunto con los atributos inherentes permiten la caracterización de una persona desde una determinada perspectiva. Los atributos complementarios son gestionados por los Proveedores de Atributos de Identidad Complementarios señalados en el artículo 18 del presente Reglamento.

17.7 El Ministerio de Relaciones Exteriores, en el marco de sus funciones y competencias, provee información sobre los atributos de identidad de un extranjero contenidos en el Carné de Identidad, Carné de Solicitante de Refugio u otros documentos similares a la Superintendencia Nacional de Migraciones, a través de servicios de información interoperables, para su inscripción en el Registro de Información de Migraciones (RIM).

Artículo 18. Proveedores de Atributos de Identidad complementarios

18.1 Los Proveedores de Atributos de Identidad (PAI) son todas las entidades de la Administración Pública que gestionan algún atributo de identidad complementario.

18.2 Los PAI son responsables de mantener la veracidad, la exactitud y la vigencia de los valores de los atributos de identidad complementarios.

18.3 Los PAI proveen atributos de identidad a los proveedores públicos de servicios digitales (PPSD) a través de la Plataforma de Interoperabilidad del Estado. Dicha provisión no requiere el consentimiento del ciudadano digital, siendo de aplicación las limitaciones al consentimiento para el tratamiento de datos personales contenidos en el numeral 1 del artículo 14 de la Ley nº 29733, Ley de Protección de Datos Personales. Asimismo, los PAI actúan bajo el principio de divulgación de información mínima y salvaguardando lo dispuesto en la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública y otras normas aplicables.

Artículo 19.- Credenciales de Autenticación

19.1 Una credencial de autenticación es aquella representación de la identidad digital utilizada por un ciudadano digital para demostrar que es quien dice ser ante la Plataforma ID GOB.PE.

19.2 Una persona natural, peruana o extranjera, puede solicitar la emisión, entrega o activación de una credencial de autenticación a los Gestores de la Identidad Digital. Asimismo, las credenciales de autenticación pueden ser emitidas, entregadas o activadas por los Gestores de la Identidad Digital previa autenticación efectuada por la Plataforma IDGOBPERÚ con un NCA igual o mayor que el de la credencial de autenticación solicitada.

19.3 Las credenciales de autenticación son un requisito para ser un ciudadano digital.

CAPÍTULO II.- DOCUMENTO NACIONAL DE IDENTIDAD DIGITAL

Artículo 20. Documento Nacional de Identidad Digital

20.1 El Documento Nacional de Identidad digital (DNId) es el Documento Nacional de Identidad emitido por el RENIEC en dispositivos digitales, que permite acreditar la identidad de su titular en entornos presenciales y/o no presenciales. Además, puede permitir a su titular la creación de firmas digitales dentro del marco de la Ley nº 27269, Ley de Firmas y Certificados Digitales, su Reglamento y normas modificatorias y complementarias. Asimismo, el DNId puede ser utilizado para el ejercicio del voto electrónico primordialmente no presencial en los procesos electorales.

20.2 El DNId se constituye como una de las credenciales de autenticación de la identidad digital nacional que puede ser utilizada por su titular para demostrar que es quién dice ser en la Plataforma ID GOB.PE.

Artículo 21. Lineamientos para el Documento Nacional de Identidad Digital

El RENIEC es responsable de establecer los requisitos, características, lineamientos y procedimientos del DNId, teniendo en consideración tecnologías que garanticen su seguridad y la verificabilidad de su autenticidad e integridad.

Artículo 22. Uso y validez del Documento Nacional de Identidad Digital

22.1 Los funcionarios y servidores públicos al servicio de las entidades de la Administración Pública pueden hacer uso del DNId para el ejercicio de sus funciones en los actos de administración, actos administrativos, procedimientos administrativos y servicios digitales. El DNId sólo otorga garantía sobre la identificación de la persona natural, mas no sobre el cargo, rol, atribuciones o facultades que ostenta un funcionario o servidor público; quien es el responsable de gestionar en su entidad las autorizaciones de acceso y asignación de roles, atribuciones o facultades para hacer uso del indicado DNId en los sistemas de información que hagan uso de este.

22.2 Para efectos de identificación, ninguna persona, autoridad o funcionario puede exigir la presentación del Documento Nacional de Identidad en formato electrónico o convencional cuando su titular disponga del mismo en formato digital, siempre que se tenga al alcance un mecanismo seguro de verificación de su validez.

22.3 El tiempo de coexistencia del Documento Nacional de Identidad en formato digital, electrónico y convencional es definido por el RENIEC, los cuales pueden ser usados en la Plataforma ID GOB.PE.

TÍTULO III.- SERVICIOS DIGITALES

CAPÍTULO I.- MARCO DE SERVICIOS DIGITALES DEL ESTADO PERUANO

Artículo 23. Marco de Servicios Digitales del Estado Peruano

23.1 El Marco de Servicios Digitales del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de servicios digitales, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de garantizar el diseño, seguridad, escalabilidad, interoperabilidad, integridad, accesibilidad, usabilidad, omnicanalidad de los servicios digitales y el adecuado uso de las tecnologías digitales.

23.2 El Marco de Servicios Digitales del Estado Peruano comprende la interacción de los ciudadanos y personas en general con los servicios digitales provistos de forma total o parcial a través de Internet u otra red equivalente por las entidades de la Administración Pública.

23.3 El Marco de Servicios Digitales del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en el diseño, construcción, despliegue y operación de los servicios digitales prestados por las entidades de la Administración Pública a los ciudadanos y personas en general.

Artículo 24. Principios del Marco de Servicios Digitales del Estado Peruano

La aplicación del Marco de Servicios Digitales del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, los principios del procedimiento administrativo establecidos en el TUO de la Ley nº 27444, y con los siguientes principios específicos:

a) Centrados en los ciudadanos. Los servicios digitales se co-crean y co-diseñan con la participación de los ciudadanos y personas en general a fin de atender y satisfacer sus demandas y/o necesidades.

b) Accesibilidad. Los servicios digitales cuentan con las características necesarias para que sean accesibles por todas las personas, en especial por las personas en situación de discapacidad.

c) Pensados para dispositivos móviles. Los servicios digitales están configurados para poder ser utilizados con un dispositivo móvil, teléfono inteligente o similar.

d) Escalabilidad. Los servicios digitales aseguran y mantienen niveles razonables de calidad ante el incremento de la demanda.

e) Innovación abierta y mejora continua. En base a las necesidades de las personas, se garantiza la mejora continua de los servicios digitales, así como el despliegue de estrategias de innovación abierta.

f) Conservación de la información. Se garantiza que las comunicaciones y documentos generados en entornos digitales, se conservan en las mismas o mejores condiciones que aquellas utilizadas por los medios tradicionales, de acuerdo con la normatividad de la materia.

g) Seguridad desde el diseño. Los servicios digitales se diseñan y desarrollan preservando la disponibilidad, integridad, confidencialidad de la información que gestiona y, cuando corresponda, la autenticidad y no repudio de la información proporcionada.

h) Interculturalidad. Los servicios digitales se desarrollan bajo un enfoque intercultural considerando las necesidades culturales y sociales de los grupos étnico-culturales del país.

Artículo 25. Proveedores Públicos de Servicios Digitales

25.1 Los proveedores públicos de servicios digitales (PPSD) son todas las entidades de la Administración Pública que proveen servicios digitales.

25.2 Los PPSD tienen las siguientes obligaciones:

a) No solicitar al ciudadano digital otras credenciales de autenticación que no sean las emitidas y/o habilitadas dentro del marco del presente Reglamento.

b) Adoptar medidas que garanticen el respeto de las normas de procedimiento aplicables y la eficacia de los actos realizados mediante los servicios digitales.

c) Determinar el NCA pertinente por cada operación o servicio digital prestado, de acuerdo con la sensibilidad y nivel de riesgo, considerando los criterios establecidos en el artículo 106 del Título VII del presente Reglamento.

d) Gestionar adecuadamente los atributos de identidad digital obtenidos y destinarlos únicamente para los fines para los cuales fueron obtenidos.

e) Determinar los privilegios para el acceso a la información, los recursos y los servicios asociados a la identidad digital que le corresponde a un ciudadano digital después de una autenticación exitosa mediante la Plataforma ID GOB.PE.

f) Notificar y/o comunicar al ciudadano y persona en general el inicio, estado y/o resultado de su trámite a su Casilla Única Electrónica, cuando corresponda.

g) Diseñar el servicio digital a fin de que la información entregada al ciudadano y persona en general tenga un alcance acorde al ámbito de acción que tiene la entidad, y de conformidad con la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública, y sus modificatorias.

h) Utilizar los identificadores únicos fundamentales, vocabularios básicos y vocabularios extendidos para la prestación de sus servicios digitales previstos en el presente Reglamento.

i) Garantizar que solo el ciudadano o representante legal facultado que forma parte de un procedimiento o proceso tenga acceso a los documentos que formen parte del expediente electrónico.

j) Priorizar la prestación de servicios, tramitación de procedimientos, y desarrollo de reuniones o sesiones a su cargo haciendo uso de tecnologías digitales y canales digitales.

k) Contar con una infraestructura tecnológica que permita asegurar la disponibilidad de los servicios digitales las 24 horas de los 365 días del año.

l) No solicitar al ciudadano pago por acceder a consultar digitalmente sus propios datos o información pública, salvo aquellos casos establecidos en una disposición legal.

25.3 Los PPSD otorgan las garantías para la prestación de servicios digitales, establecidos en el artículo 18 de la Ley, asegurando que los mismos:

a) Se integran con la Plataforma ID GOB.PE para autenticar en línea la identidad de un ciudadano digital, conforme a las disposiciones establecidas en el Capítulo I del Título II del presente Reglamento.

b) Se diseñan, implementan y prestan conforme a las disposiciones de seguridad digital establecidas en el Título VII del presente Reglamento y el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

c) Se diseñan, implementan y prestan conforme a las disposiciones de interoperabilidad establecidas en el Título VI del presente Reglamento.

d) Se diseñan, implementan y prestan conforme a las disposiciones de arquitectura digital establecidas en el Título VIII del presente Reglamento.

e) Se diseñan o rediseñan considerando aspectos de accesibilidad, usabilidad y simplicidad, centradas en la experiencia de los usuarios, así como normas técnicas y estándares ampliamente reconocidos y habilidades blandas.

f) Se integran a la Plataforma de Pagos Digitales del Estado Peruano u otros mecanismos para realizar los pagos de derechos de tramitación conforme a las disposiciones establecidas en el artículo 89 del presente Reglamento.

g) Se diseñan, implementan y prestan atendiendo las condiciones para el tratamiento de datos personales conforme a las normas sobre la materia.

h) Garantizan la conservación de las comunicaciones y documentos electrónicos generados en su prestación, de acuerdo con las normas sobre la materia.

Artículo 26. Tipos de Servicios digitales

26.1 El servicio digital, definido en el artículo 3 de la Ley, puede ser clasificado por su nivel de complejidad y necesidad de apersonamiento del ciudadano.

26.2 Los servicios digitales, de acuerdo con su complejidad, son clasificados en cuatro (04) tipos:

a) Servicio digital informativo. Son aquellos de carácter netamente informativo y unidireccional.

b) Servicio digital cercano. Son aquellos que permiten comunicaciones bidireccionales básicas.

c) Servicio digital optimizado. Son aquellos que permiten comunicación bidireccional avanzada, y su utilización requiere como mínimo la autenticación de la identidad del ciudadano mediante la plataforma ID GOB.PE y un bloque básico de interoperabilidad técnica establecido en el artículo 86 del presente Reglamento.

d) Servicio digital conectado. Son aquellos que utilizan al menos tres (03) bloques básicos de interoperabilidad técnica establecidos en el artículo 86 del presente Reglamento.

26.3 Los servicios digitales, de acuerdo con la necesidad de apersonamiento del ciudadano, son clasificados en tres (03) tipos:

a) Servicio digital no presencial. Es aquel servicio provisto de forma total a través de Internet u otra red equivalente, que se caracteriza por ser no presencial (no requiere el apersonamiento del ciudadano digital en la sede de atención de la entidad) y automático (no requiere intervención humana directa para su atención) o semiautomático (requiere intervención humana para su atención). Puede ser sincrónico o asincrónico.

b) Servicio digital semipresencial. Es aquel servicio provisto de forma parcial a través de Internet u otra red equivalente, que se caracteriza por ser semipresencial (requiere que el ciudadano digital se apersone a la sede de atención de la entidad en alguna etapa del servicio, o viceversa).

c) Servicio digital presencial. Es aquel servicio provisto de forma parcial a través de equipamiento tecnológico, diseñado para el autoservicio.

26.4 Las entidades públicas determinan los tipos de servicios digitales que le corresponde proveer en base a su complejidad o la necesidad de apersonamiento del ciudadano.

Artículo 27. Ciclo de vida de la implementación de los servicios digitales

27.1 Las entidades públicas consideran las siguientes etapas en el ciclo de vida de la implementación de los servicios digitales:

a) Alineamiento a los objetivos estratégicos. Comprende el alineamiento y priorización del servicio digital con los objetivos estratégicos institucionales en el marco del Sistema Nacional de Planeamiento.

b) Concepción, co-creación y diseño- Comprende la investigación para la identificación de las necesidades del ciudadano y personas en general, su priorización, la definición de la arquitectura lógica, el diseño, el prototipado de la solución, la realización de pruebas de concepto y las pruebas de usabilidad.

c) Construcción e integración. Comprende el uso de herramientas, técnicas, metodologías, estándares, normas técnicas y marcos de referencia ampliamente reconocidos para la construcción del servicio digital y su integración con los bloques básicos para la interoperabilidad técnica definidos en el Título VI del presente Reglamento, en lo que corresponda.

d) Operación. Comprende el uso de marcos de referencia y estándares ampliamente reconocidos para la provisión de servicios digitales seguros y de valor para el ciudadano y personas en general.

e) Mejora continua. Comprende el desarrollo de acciones periódicas, en base a las necesidades del ciudadano y personas en general, así como los avances tecnológicos, para el mejoramiento continuo de la calidad del servicio digital. Esta etapa se basa en el uso de métodos cuantitativos y cualitativos para perfeccionar la calidad y la eficiencia de los servicios digitales, así como de otros productos de la cadena de valor.

27.2 En la formulación y evaluación de los proyectos de tecnologías digitales se aplican las normas técnicas, parámetros, metodologías, estándares o similares que establezca la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

Artículo 28. Innovación de los servicios digitales

28.1 Las entidades de la Administración Pública implementan servicios digitales innovadores, haciendo énfasis en la generación de valor para los ciudadanos y personas en general, siempre que se encuentren dentro de sus competencias, atribuciones y funciones.

28.2 Todo servicio digital es supervisado permanentemente por la entidad proveedora de este, a fin de identificar, analizar, desarrollar y verificar mejoras adicionales para su prestación.

28.3 Las entidades públicas incorporan mecanismos para recolectar la percepción de los ciudadanos acerca del servicio digital utilizado, como mínimo, implementan procesos ágiles de investigación, encuestas en línea accesibles desde su sede o servicio digital. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite lineamientos o guías sobre mecanismos para evaluar la percepción o nivel de satisfacción del servicio digital.

Artículo 29. Inclusión digital y centros de ciudadanía digital

29.1 Las entidades de la Administración Pública garantizan que los ciudadanos o personas en general puedan relacionarse con ellas a través de canales digitales, para lo cual ponen a su disposición la sede digital y los centros de ciudadanía digital que sean necesarios, así como los sistemas de información, plataformas, aplicativos, servicios y contenidos digitales que en cada caso se determinen. Los centros de ciudadanía digital son los centros de acceso público de gobierno digital previstos en la Ley nº 29904, Ley de Promoción de Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica y su Reglamento.

29.2 Las entidades públicas implementan, en función a sus recursos y capacidades, y conforme a las proyecciones o actividades establecidas en sus instrumentos de gestión, centros de ciudadanía digital a fin de proveer espacios para el acceso a sus servicios y contenidos digitales, siguiendo los lineamientos y normas emitidas por la Presidencia del Consejo Ministros, a través de la Secretaría de Gobierno Digital.

Artículo 30. Fecha y hora oficial

Las entidades de la Administración Pública garantizan que todos los sistemas de cómputo y sus respectivas bases de datos están sincronizados con servidores de tiempo que permitan acceder a la fecha y hora cierta para obtener la fecha y hora oficial del Perú, salvo excepciones establecidas por norma expresa o remisión de informe técnico dirigido a la Secretaría de Gobierno Digital.

CAPÍTULO II.- PLATAFORMA DIGITAL ÚNICA DEL ESTADO PERUANO PARA ORIENTACIÓN AL CIUDADANO – GOB.PE

Artículo 31. Estructura funcional de la Plataforma Digital GOB.PE

31.1 La Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (Plataforma GOB.PE) es la plataforma digital que provee, como mínimo, las siguientes funcionalidades:

a) Acceder a información del Estado Peruano presentada de manera centralizada.

b) Acceder a la información institucional, catálogo digital de trámites y servicios que prestan todas las entidades públicas, así como a sus sedes digitales.

c) Realizar trámites, acceder a servicios digitales y hacer su seguimiento, incorporando mecanismos de seguridad y, cuando corresponda, mecanismos de no repudio.

d) Realizar reclamos y hacer su seguimiento mediante la plataforma Libro de Reclamaciones o la que haga sus veces, así como realizar denuncias.

e) Presentar solicitudes, escritos u otro tipo de documento en soporte digital dirigida a una entidad pública a través de la Plataforma Única de Recepción Documental del Estado Peruano.

f) Autenticar la identidad digital mediante la Plataforma ID GOB.PE.

g) Acceder a un entorno personalizado.

h) Acceder a una carpeta ciudadana.

i) Acceder a la casilla única electrónica para la recepción de notificaciones digitales y revisión de la bandeja de comunicaciones.

j) Acceder a información personal y familiar, así como a datos de educación, trabajo, electoral, tributaria conforme a los acuerdos establecidos con las entidades competentes proveedoras de dicha información, y, a través de la Plataforma de Interoperabilidad del Estado (PIDE), a datos personales de salud conforme a lo establecido en el marco legal vigente.

31.2 El acceso a las funcionalidades citadas en los literales del f) al j) del numeral 31.1 requieren la autenticación de la identidad digital del ciudadano digital titular de la información y sus datos o del representante legal que tiene la facultad de acceder a dicha información según corresponda.

31.3 La plataforma GOB.PE no almacena información o datos personales de salud provista por el Ministerio de Salud o instituciones prestadoras de servicios de salud.

31.4 Las entidades públicas despliegan obligatoriamente los servicios de información necesarios para la implementación de la estructura funcional de la Plataforma GOB.PE.

31.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, define el diseño y conduce el desarrollo e implementación de la estructura funcional de la plataforma GOB.PE. Asimismo, mediante Resolución de Secretaría de Gobierno Digital amplía o modifica la estructura funcional de la Plataforma GOB.PE en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande.

Artículo 32. Sede digital

32.1 La sede digital es una sede de la entidad, cuya dirección electrónica está bajo el dominio en Internet de la Plataforma GOB.PE. Su contenido a nivel de titularidad, gestión y administración corresponde a cada entidad de la administración pública. A través de la sede digital los ciudadanos y personas en general pueden acceder al catálogo digital de trámites y servicios, realizar trámites y otras actividades conforme a lo establecido en el artículo 20 de la Ley.

32.2 Las entidades de la Administración Pública son responsables de la integridad, veracidad y actualización de la información, contenidos digitales y servicios digitales que presten a través de su respectiva sede digital.

Artículo 33. Catálogo digital de trámites y servicios

33.1 El catálogo digital de trámites y servicios es un canal informativo, que forma parte de la sede digital de las entidades públicas, para el acceso a información de trámites y servicios que prestan, en cumplimiento del artículo 1 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establece disposiciones adicionales para el desarrollo del gobierno digital.

33.2 Para el caso de la información de los procedimientos administrativos, servicios prestados en exclusividad y servicios no exclusivos, el Catálogo digital de trámites y servicios integra información del Sistema Único de Trámites o instrumentos de gestión de las entidades de la Administración Pública aprobados. El catálogo contiene como mínimo la siguiente información: descripción, requisitos, etapas, plazo, autoridad que lo aprueba, tipo de procedimiento y tasa.

Artículo 34. Catálogo Oficial de Aplicativos Móviles del Estado Peruano

34.1 Créase el Catálogo Oficial de Aplicativos Móviles del Estado Peruano, bajo la cuenta oficial GOB.PE, en las tiendas de distribución de aplicativos móviles. Es gestionado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

34.2 Las entidades públicas desarrollan sus aplicativos móviles en base a los lineamientos y directivas técnicas para el diseño, construcción y registro emitidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

34.3 Asimismo, las entidades coordinan con la Secretaría de Gobierno Digital el registro de un aplicativo móvil nuevo o existente en el Catálogo Oficial de Aplicativos Móviles del Estado Peruano. La Secretaría de Gobierno Digital supervisa de oficio o a pedido de una entidad un aplicativo móvil a fin de verificar el cumplimiento de los lineamientos emitidos, en caso lo requiera puede solicitar opinión a otras entidades vinculadas.

TÍTULO IV.- CONDICIONES, REQUISITOS Y USO DE LAS TECNOLOGÍAS Y MEDIOS ELECTRÓNICOS EN EL PROCEDIMIENTO ADMINISTRATIVO

CAPÍTULO I.- DOCUMENTO ELECTRÓNICO

Artículo 35. Documento electrónico

35.1 El documento electrónico es la unidad básica estructurada de información, es susceptible de ser clasificada, transmitida, procesada o conservada utilizando medios electrónicos, sistemas de información o similares. Contiene información de cualquier naturaleza, es registrado en un soporte electrónico o digital, en formato abierto y de aceptación general, a fin de facilitar su recuperación y conservación en el largo plazo. Asimismo, tiene asociado datos que permiten su individualización, identificación, gestión y puesta al servicio del ciudadano.

35.2 El documento electrónico tiene el mismo valor legal que aquellos documentos en soporte papel, de conformidad con lo establecido en el numeral 30.3 del artículo 30 del TUO de la Ley nº 27444.

35.3 El documento electrónico tiene un ciclo de vida que comprende la planificación, producción (creación, emisión, recepción, despacho), conservación, puesta a disposición y/o eliminación, de acuerdo con la legislación en materia de gobierno digital y las normas del Sistema Nacional de Archivos. Asimismo, siempre que sea factible se pueden emitir representaciones imprimibles de un documento electrónico.

Artículo 36. Código de verificación digital

36.1 El Código de Verificación Digital (CVD) es la secuencia alfanumérica que permite verificar la autenticidad de una representación impresa o imprimible mediante el cotejo con el documento electrónico localizado en la sede digital de la entidad. Las entidades implementan el servicio digital para realizar dicha verificación. La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros emite los lineamientos para la gestión y el uso del CVD a fin de garantizar su seguridad e interoperabilidad.

36.2 El CVD es incorporado en las representaciones imprimibles de documentos electrónicos gestionados por una entidad. Lo señalado en el presente numeral se aplica sin perjuicio de lo dispuesto en la Tercera Disposición Complementaria Final del Decreto Supremo nº 026-2016-PCM, Decreto Supremo que aprueba medidas para el fortalecimiento de la infraestructura oficial de firma electrónica y la implementación progresiva de la firma digital en el Sector Público y Privado.

Artículo 37. Representación imprimible

37.1 Es la representación de un documento electrónico susceptible de ser impresa en soporte papel. Es emitida en un formato digital abierto e interoperable con al menos una firma digital de agente automatizado emitido en el marco de la IOFE y un código de verificación digital (CVD). A partir de una representación imprimible pueden generarse múltiples representaciones impresas.

37.2 Las entidades de la Administración Pública remiten representaciones imprimibles de documentos electrónicos a los ciudadanos y personas en general. Dichas representaciones pueden ser enviadas a la casilla única electrónica del ciudadano o persona en general.

37.3 En caso la entidad expida una representación impresa ésta no requiere la aplicación de una firma manuscrita por parte de ningún representante de la entidad, siempre que haya sido generada a partir de una representación imprimible.

37.4 Si una entidad de la Administración Pública solicita a un ciudadano o persona en general un documento electrónico original, se entiende cumplido su mandato con la remisión por parte de este del CVD o representación imprimible, o con la presentación de una representación impresa del mismo.

Artículo 38. Exámenes y auditorías

Los documentos electrónicos firmados con cualquier modalidad de firma electrónica por las entidades públicas son válidos para cualquier revisión, incluyendo exámenes y auditorías, públicas o privadas, pudiendo ser exhibidos, ante los revisores, inspectores, auditores y autoridades competentes, de forma directa, o mediante su presentación en aplicativos que permiten su verificación, sin requerirse copia en papel, salvo que una norma, lo exprese o lo disponga.

CAPÍTULO II.- EXPEDIENTE ELECTRÓNICO

Artículo 39. Expediente electrónico

39.1 El expediente electrónico es el conjunto organizado de documentos electrónicos que respetando su integridad documental están vinculados lógicamente y forman parte de un procedimiento administrativo o servicio prestado en exclusividad en una determinada entidad de la Administración Pública, conforme a lo establecido en el artículo 31 del TUO de la Ley nº 27444. Asimismo, todas las actuaciones del procedimiento se registran y conservan íntegramente y en orden sucesivo en el expediente electrónico.

39.2 El expediente electrónico se gestiona como un documento archivístico digital, cumpliendo las disposiciones técnico normativas emitidas por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, y las normas del Sistema Nacional de Archivos emitidas por el Archivo General de la Nación.

39.3 En caso existan documentos en soporte papel que requieran ser incorporados en el expediente electrónico, las entidades pueden aplicar lo establecido en el artículo 48 del presente Reglamento. La Secretaría de Gobierno Digital en coordinación con el Archivo General de la Nación emite las normas sobre la gestión de expedientes conformados por documentos en soporte papel y documentos electrónicos.

Artículo 40. Estructura del expediente electrónico

40.1 El expediente electrónico tiene como mínimo los siguientes componentes:

a) Número o código único de identificación.

b) Índice digital.

c) Documentos electrónicos.

d) Firma del índice digital.

e) Metadatos del expediente electrónico.

f) Categorización

40.2 Los estándares técnicos de la estructura del expediente electrónico son establecidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, teniendo en consideración las normas sobre los procesos de gestión documental definidos en estándares internacionales, normas técnicas, y de archivos definidos por el Archivo General de la Nación.

Artículo 41. Número o código único de identificación

El número o código único de identificación permite la identificación unívoca del expediente electrónico dentro de la entidad, y con ello su ubicación, acceso, control y seguimiento en cada entidad en la que se tramite o archive. Asimismo, es utilizado para el intercambio de información entre entidades o partes interesadas, y respeta los estándares técnicos para la elaboración del expediente electrónico.

Artículo 42. Índice Digital

Es el instrumento que contiene la relación y datos para la identificación de los documentos electrónicos que integran el expediente, los cuales están ordenados en forma cronológica, alfabética, numérica o mixta. El índice digital tiene un código que lo identifica y la fecha en que se genera, así como atributos para registrar la fecha de apertura y cierre del expediente. Asimismo, por cada documento electrónico contiene, como mínimo, los siguientes elementos:

a) Código único del documento.

b) Fecha de producción o fecha de incorporación.

c) Orden del documento dentro del expediente.

d) Resumen hash del documento.

e) Foliado.

Artículo 43. Generación del Índice Digital

43.1 La generación del índice digital comprende, como mínimo, las siguientes operaciones:

a) Asociar un documento electrónico a un expediente electrónico con el fin de permitir su recuperación.

b) Identificar la secuencia, orden, y cuando corresponda, la página de inicio y fin del documento electrónico que se incorpora al expediente electrónico.

c) Firmar digitalmente el índice digital al cierre del expediente electrónico, a fin de garantizar su integridad y autenticidad.

43.2 El índice digital firmado al cierre del expediente utiliza un certificado digital emitido en el marco de la IOFE.

Artículo 44. Metadatos del expediente electrónico

44.1 Los metadatos son los datos que describen el contexto, el contenido y la estructura del expediente electrónico y su gestión a lo largo del tiempo. Cuando se asegura la integridad de los metadatos, estos sirven como evidencia ante algún requerimiento de información de los operadores de justicia, tribunales o autoridades en sus procesos de supervisión, fiscalización e investigación.

44.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece el perfil mínimo de los metadatos que contiene el expediente electrónico.

Artículo 45. Obtención de copias del expediente electrónico

45.1 Las entidades de la Administración Pública expiden una copia de todo o parte del expediente electrónico consignando en ella un Código de Verificación Digital (CVD). Las copias del expediente electrónico son entregadas en soporte digital o son remitidas a la casilla única electrónica, salvo solicitud expresa de emisión en soporte papel y siempre que sea posible, en cuyo caso se aplica lo establecido en los artículos 53 y 90 del TUO de la Ley nº 27444, según corresponda. Dichas copias entregadas o remitidas en soporte digital tienen la misma validez que las copias certificadas o fedateadas en soporte papel, debiendo encontrarse siempre firmadas digitalmente en el marco de la IOFE por la entidad emisora de la copia o por un fedatario institucional.

45.2 En caso el expediente electrónico se encuentre conformado por uno o varios documentos en soporte papel, que no hayan podido ser digitalizados, las copias de dichos documentos atienden lo establecido en los artículos 52 y 138 del TUO de la Ley nº 27444.

CAPÍTULO III.- RECEPCIÓN DOCUMENTAL

Artículo 46. Plataforma Única de Recepción Documental del Estado Peruano

46.1 Créase la Plataforma Única de Recepción Documental del Estado Peruano (MESA DIGITAL PERÚ) como el registro digital que forma parte de la Plataforma GOB.PE, permite la recepción de escritos, solicitudes y documentos electrónicos enviados por los ciudadanos y personas en general a las entidades de la Administración Pública cumpliendo los requisitos de cada trámite, todos los días del año durante las veinticuatro (24) horas, donde los plazos para el pronunciamiento de las entidades se contabilizan a partir del primer día hábil siguiente de haber sido presentados, respetando los plazos máximos para realizar actos procedimentales dispuestos en el artículo 143 del TUO de la Ley nº 27444.

46.2 Para la presentación de escritos, solicitudes y documentos electrónicos correspondientes a procedimientos especiales, tales como, el procedimiento sancionador, trilateral, fiscalizador, a través de la MESA DIGITAL PERÚ, los ciudadanos y personas en general observan el horario de atención establecido en las normas que las regulan, de corresponder.

46.3 Los documentos presentados:

a) Desde las 00:00 horas hasta el término del horario de atención de la entidad de un día hábil, se consideran presentados el mismo día.

b) Después del horario de atención de la entidad hasta las 23:59 horas, se consideran presentados el día hábil siguiente.

c) Los sábados, domingos, feriados o cualquier otro día inhábil, se consideran presentados al primer día hábil siguiente.

46.4 La MESA DIGITAL PERÚ se integra con los sistemas de trámite documentario, sistemas de gestión documental o sistemas de expediente electrónico u otros sistemas de información de las entidades públicas. Asimismo, se integra con los bloques básicos para la interoperabilidad técnica definidos en el artículo 87 del Título VI del presente Reglamento según corresponda.

46.5 La MESA DIGITAL PERÚ envía a la casilla única electrónica del ciudadano o persona en general un cargo de recepción de los escritos, solicitudes y documentos electrónicos presentados, con su firma digital de agente automatizado de la entidad y un sello de tiempo, consignando la fecha, hora, cantidad de folios y canal de presentación, en conformidad con el artículo 135.2 del TUO de la Ley nº 27444. La firma digital y el sello de tiempo son generados en el marco de la Infraestructura Oficial de Firma Electrónica (IOFE). En caso la entidad realice observaciones a la documentación presentada corresponde aplicar lo establecido en el numeral 136.6 del artículo 136 del TUO de la Ley nº 27444, realizando la comunicación a la casilla única electrónica.

46.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las normas para la implementación de la MESA DIGITAL PERÚ.

Artículo 47. Recepción de documentos en original y/o copia vía canal digital

47.1 Para la recepción de cualquier documento en original, independientemente del medio de soporte que lo contenga, que no se encuentre en la relación de documentos originales que pueden ser reemplazados por sucedáneos, conforme a lo establecido en el artículo 49 del TUO de la Ley nº 27444, vía plataformas de recepción documental, mesas de parte digital o similares, las entidades pueden optar, dependiendo de la naturaleza del procedimiento o servicio, por una o alguna combinación de las siguientes alternativas:

a) Recibir un documento escaneado presentado por el ciudadano o persona en general que tenga las firmas manuscritas necesarias, debiendo la entidad firmarlo digitalmente con certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

b) Recibir un documento electrónico presentado por el ciudadano o persona en general que utilice alguna de las modalidades de firma electrónica establecidas en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado mediante Decreto Supremo nº 052-2008-PCM y modificatorias, debiendo la entidad firmarlo digitalmente, con certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

c) Proveer un formulario web a ser completado por el ciudadano o persona en general, a partir del cual la entidad genera un documento electrónico debiendo firmarlo digitalmente, con un certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

47.2 En caso la entidad requiera la presentación física del documento original en una unidad de recepción documental de la entidad, luego de la presentación por el canal digital conforme lo establecido en el literal a) del numeral precedente, corresponde al ciudadano o persona en general efectuar la referida presentación en un plazo máximo de dos (02) días hábiles siguientes de la presentación vía canal digital, conforme lo establecido el numeral 136.1 del artículo 136 del TUO de la Ley nº 27444; mientras esté pendiente dicha presentación son aplicables las reglas establecidas en los numerales 136.3.1 y 136.3.2 de dicho cuerpo normativo. De no presentarse oportunamente lo requerido resulta de aplicación lo dispuesto en el numeral 136.4 del TUO de la Ley nº 27444.

47.3 En caso la entidad requiera la presentación de la copia de un documento original o documentos sucedáneos de los originales que se encuentran en soporte papel, el ciudadano o persona en general puede presentar dicho documento escaneado.

47.4 La presentación de documentos en original o copia vía canal digital, señalados en los numerales 47.1 y 47.3 precedentes se sujetan al principio de presunción de veracidad conforme a lo dispuesto en el numeral 1.7 del Artículo IV del Título Preliminar y a los numerales 51.1 del artículo 51, 1 y 4 del artículo 67 del TUO de la Ley nº 27444.

47.5 Las entidades de la Administración Pública envían a la casilla única electrónica del ciudadano o persona en general, un cargo de recepción de los escritos, solicitudes y documentos electrónicos presentados vía canal digital, con su firma digital de agente automatizado y un sello de tiempo, consignando la fecha, hora y canal de presentación, en conformidad con el artículo 135.2 del TUO de la Ley nº 27444. La firma digital y el sello de tiempo son generados en el marco de la IOFE. Asimismo, envían un mensaje al correo electrónico registrado por el ciudadano o persona en general.

47.6 Las plataformas de recepción documental, mesas de parte digital o similares registran, como mínimo, los siguientes metadatos para la recepción: fecha y hora, asunto, tipo y número de documento de identificación, domicilio, dirección de correo electrónico, número de teléfono celular, entidad destinataria y/o dependencia destinataria. La Secretaría de Gobierno Digital emite normas sobre la categorización, indexación y metadatos para la interoperabilidad entre las referidas plataformas o sistemas en el marco del artículo 8 del Decreto Legislativo nº 1310, Decreto Legislativo que aprueba medidas adicionales de Simplificación Administrativa.

47.7 Para la presentación de documentos a través de canales digitales las entidades pueden tomar como referencia los horarios establecidos en el numeral 46.3 del artículo 46 del presente Reglamento.

Artículo 48. Digitalización de documentos en soporte papel presentados en las unidades de recepción documental

48.1 La digitalización de documentos originales en soporte papel, presentados en las unidades de recepción documental de las entidades públicas, se realiza conforme a lo siguiente:

a) Para digitalizar un documento original en soporte papel a soporte digital con valor legal es necesario el uso de una línea de digitalización y producción de microformas certificada, observando las disposiciones legales sobre la materia.

b) Para digitalizar un documento original en soporte papel a soporte digital con valor administrativo para los efectos de la entidad donde se utilizará dicho documento, el fedatario institucional autentica el documento escaneado en soporte digital, previo cotejo con el original, con su firma digital generada en el marco de la IOFE.

48.2 Para digitalizar las copias de un documento en soporte papel, presentados en las unidades de recepción documental, se utilizan equipos de captura de imágenes para su escaneo.

48.3 Para efectos de lo dispuesto en el literal b) del numeral 48.1, cada entidad elabora o actualiza una norma interna en la cual se establecen los requisitos, atribuciones y demás disposiciones relacionadas con el desempeño de las funciones del fedatario institucional en la autenticación de documentos escaneados en soporte digital, atendiendo lo establecido en el artículo 138 del TUO de la Ley nº 27444.

CAPÍTULO IV.- GESTIÓN ARCHIVÍSTICA DIGITAL

Artículo 49. Documento archivístico digital

49.1 Es aquel documento electrónico que contiene información en soporte o medio digital y es conservado de manera segura como evidencia y/o activo de información, respetando su integridad documental. Es producido por una persona natural, persona jurídica o una entidad pública, en el ejercicio de sus actividades, procesos, funciones y/o competencias.

49.2 Las características de un documento archivístico digital son:

a) Autenticidad.

b) Fiabilidad.

c) Integridad.

d) Disponibilidad.

e) Usabilidad.

49.3 El documento archivístico digital tiene como mínimo los siguientes metadatos: código único del documento, nombre del documento, tipo y serie documental, fecha y hora, volumen (tamaño y formato) y nombre del productor.

Artículo 50. Repositorio archivístico digital institucional

50.1 El repositorio archivístico digital institucional cuenta con:

a) Principios y políticas.

b) Procedimientos del documento archivístico digital, como mínimo, para la captura, almacenamiento, preservación y acceso.

c) Metadatos.

d) Infraestructura tecnológica y de seguridad digital.

e) Plan de Capacidad.

50.2 El repositorio archivístico digital institucional es administrado y regulado por el Archivo Central de la entidad pública. Sin perjuicio de ello, las acciones relacionadas a la infraestructura tecnológica y seguridad digital del referido repositorio pueden estar a cargo de la unidad de organización de tecnologías de la información, de otra unidad de organización de la entidad o un tercero, no siendo responsables de la gestión del contenido de dicho repositorio.

50.3 Las entidades de la Administración Pública implementan de manera obligatoria su repositorio archivístico digital institucional para administrar los documentos archivísticos digitales, y garantizar su conservación y acceso durante su ciclo de vida.

50.4 En caso las unidades de organización tengan a su cargo un sistema de información o servicio digital, éstas son responsables de la custodia y acceso al documento archivístico digital contenido en dicho sistema hasta su transferencia al repositorio archivístico digital institucional de la entidad. Los precitados sistemas de información se integran con el repositorio archivístico digital institucional.

Artículo 51. Repositorio archivístico digital nacional

51.1 El Archivo General de la Nación administra el repositorio archivístico digital nacional para conservar y resguardar los documentos archivísticos digitales con valor permanente provenientes de los repositorios archivísticos digitales institucionales de las entidades.

51.2 El Archivo General de la Nación implementa el repositorio archivístico digital nacional de manera progresiva y de acuerdo con sus recursos y capacidades asignadas.

51.3 El Archivo Central de las entidades públicas remite sus documentos archivísticos digitales al Repositorio Archivístico digital nacional en base a los protocolos, lineamientos y disposiciones establecidos por el Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

Artículo 52. Normas y políticas para la gestión archivística digital

52.1 La producción de documentos archivísticos digitales, la aplicación de los procesos técnicos archivísticos y registro del patrimonio digital producido en el ejercicio de las funciones de cada entidad pública atienden las normas y políticas emitidas por el Archivo General de la Nación.

52.2 Las normas y políticas para la gestión archivística digital son elaboradas por el Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

CAPÍTULO V.- CASILLA ÚNICA ELECTRÓNICA

Artículo 53. Casilla única electrónica

53.1 La casilla única electrónica es el domicilio digital que sirve para recibir comunicaciones y/o notificaciones remitidas por las entidades de la Administración pública a los ciudadanos y personas en general, conforme se establece en el numeral 20.4 del artículo 20 del TUO de la Ley nº 27444, y al que se refiere el artículo 22 de la Ley.

53.2 La casilla única electrónica acredita la certeza, integridad y fecha y hora cierta de una comunicación y/o notificación realizada por una entidad pública a un ciudadano o persona en general. De darse una controversia referida a la emisión o recepción de una notificación, corresponderá a la entidad responsable de la gestión de la casilla única electrónica acreditar que se produjo dicha emisión o recepción; en cualquier otro caso dicha acreditación recaerá en el emisor.

53.3 La casilla única electrónica está conformada por lo siguiente:

(1) dirección electrónica,

(2) buzón de notificaciones, y

(3) buzón de comunicaciones.

53.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, asigna una casilla única electrónica al ciudadano y persona en general. Asimismo, es responsable de garantizar su disponibilidad, continuidad y funcionamiento, atendiendo a lo establecido en el presente Capítulo, así como también asegura el acceso a las notificaciones y comunicaciones mediante la Plataforma GOB.PE.

Artículo 54. Dirección electrónica

54.1 La dirección electrónica es única y permite identificar a una casilla única electrónica. Asimismo, vincula unívocamente una casilla única electrónica con un ciudadano o persona en general.

54.2 La dirección electrónica está conformada por el Código Único de Domicilio (CUD) y tiene el formato “[email protected]”. El valor del CUD es:

a) Para el caso de los peruanos, el Código Único de Identificación asignado por el Registro Nacional de Identificación y Estado Civil.

b) Para el caso de los extranjeros, el Código Único de Extranjero asignado por la Superintendencia Nacional de Migraciones.

c) Para el caso de personas jurídicas, el Número de Partida Registral, asignado por la Superintendencia Nacional de Registros Públicos.

54.3 Para el caso de entidades públicas, así como de sujetos sin personería jurídica que no cuenten con un valor para el CUD, la Secretaría de Gobierno Digital le asigna un código identificatorio a fin de cumplir lo establecido en la Ley y el presente Reglamento.

Artículo 55. Buzón de notificaciones

55.1 Es aquel buzón donde se depositan las notificaciones de actos administrativos, así como actos de administración emitidos en el marco de cualquier actuación administrativa, remitidas por las entidades de la Administración Pública a los ciudadanos y personas en general.

55.2 En el caso del depósito de una notificación, retorna al emisor una constancia de depósito y envía al correo electrónico personal del destinatario mensajes de alerta de la llegada de la notificación. Asimismo, puede enviar al teléfono celular del destinatario mensajes de texto alertando la llegada de una notificación o realizar alertas mediante llamadas telefónicas.

55.3 Las alertas realizadas al correo electrónico personal, teléfono celular, llamadas telefónicas o similares no constituyen parte del procedimiento de notificación vía casilla única electrónica, tampoco afecta la validez de ésta ni de los actos administrativos o actos de administración que se notifican.

55.4 El buzón de notificaciones almacena las notificaciones recibidas por un periodo no menor a un (01) año.

55.5 El buzón de notificaciones guarda evidencias que permiten demostrar el depósito de una notificación.

Artículo 56. Buzón de comunicaciones

56.1 Es un mecanismo lógico con capacidad de reenviar de forma automatizada las comunicaciones que llegan a la casilla única electrónica hacia el correo electrónico personal del destinatario. Las comunicaciones pueden contener mensajes, documentos y/o avisos. Asimismo, pueden enviar al teléfono celular del destinatario mensajes de texto de alerta de la llegada de la comunicación.

56.2 El buzón de comunicaciones puede almacenar las comunicaciones recibidas de forma temporal.

56.3 El buzón de comunicaciones guarda evidencias que permiten demostrar la llegada de una comunicación.

Artículo 57. Acceso a la casilla única electrónica

57.1 Para el caso de la casilla única electrónica de personas naturales, el titular accede a la misma, a través de la Plataforma GOB.PE, previa autenticación de su identidad ante la plataforma ID GOB.PE. El titular puede delegar a uno o más representantes el acceso a un buzón de la casilla para la recepción de las notificaciones, siempre que exista manifestación expresa de su voluntad mediante la Plataforma GOB.PE, de acuerdo con los formularios que se implementen para tal fin.

57.2 Para el caso de la casilla única electrónica de personas jurídicas, su representante legal accede a la misma, a través de la Plataforma GOB.PE, previa autenticación de su identidad ante la Plataforma ID GOB.PE. El representante legal puede delegar a otros representantes el acceso a un buzón de la casilla única electrónica de la persona jurídica para la recepción de las notificaciones, siempre que exista manifestación expresa de su voluntad mediante la Plataforma GOB.PE, de acuerdo con los formularios que se implementen para tal fin.

57.3 La delegación a la que hace referencia los numerales 57.1 y 57.2 se realiza por cada procedimiento del cual sea parte el ciudadano o persona en general, siendo válida únicamente durante dicho procedimiento y en tanto no se comunique su variación. La designación, así como el término o cambio de la delegación se realiza de acuerdo con los formularios que se implementen para tal fin.

Artículo 58. Plataforma Casilla Única Electrónica del Estado Peruano

58.1 Créase la Plataforma Casilla Única Electrónica del Estado Peruano (CASILLA ÚNICA PERÚ) como la plataforma digital que administra la casilla única electrónica de todos los ciudadanos y personas en general.

58.2 La Plataforma CASILLA ÚNICA PERÚ es gestionada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

58.3 Las comunicaciones y notificaciones a través de la Plataforma CASILLA ÚNICA PERÚ se realizan entre emisores y destinatarios, donde:

a) Emisores. Son aquellas entidades públicas plenamente identificadas que utilizan la plataforma CASILLA ÚNICA PERÚ para efectuar comunicaciones y/o notificaciones a un ciudadano o persona en general.

b) Destinatarios. Son los ciudadanos o personas en general que acceden a su casilla única electrónica para revisar las comunicaciones y las notificaciones efectuadas por los emisores.

58.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece los protocolos de integración, así como los lineamientos para garantizar su confidencialidad, integridad, autenticidad, no repudio y fecha y hora cierta de las operaciones y transacciones, en conformidad con el marco normativo correspondiente. Asimismo, establece las reglas, criterios, plazos y condiciones para el uso, delegación, suspensión e implementación de la casilla única electrónica, y publica datos en formatos abiertos sobre su uso en la Plataforma Nacional de Datos Abiertos.

58.5 Las entidades de la Administración Pública que no cuenten con ningún mecanismo de notificación, a través de tecnologías y medios digitales o electrónicos, están obligadas a utilizar la Plataforma CASILLA ÚNICA PERÚ para la emisión de comunicaciones y notificaciones digitales a los ciudadanos y personas en general.

58.6 Las entidades de la Administración Pública que cuenten con habilitación legal, mediante una norma con rango de Ley, no están obligadas a utilizar la Plataforma CASILLA ÚNICA PERÚ, salvo que opten hacerlo voluntariamente o sea dispuesto por ley. Asimismo, las notificaciones electrónicas efectuadas por dichas entidades se regulan conforme lo establece la norma con rango de ley que la habilita.

58.7 Las comunicaciones y/o solicitudes sobre procedimientos enmarcados en los contratos de Asociación Público – Privada son notificadas bajo la modalidad prevista en ellos; salvo que, en el marco de dichos contratos, las partes acuerden utilizar la Plataforma CASILLA ÚNICA PERÚ u otra modalidad que así estimen conveniente.

CAPÍTULO VI.- NOTIFICACIÓN DIGITAL

Artículo 59. Notificación digital

59.1 Es aquella modalidad de notificación electrónica que es efectuada a la casilla única electrónica del ciudadano o persona en general para la notificación de actos administrativos, así como actuaciones emitidas en el marco de cualquier actividad administrativa, en concordancia con lo establecido en el artículo 20 del TUO de la Ley nº 27444, y de lo dispuesto en la Tercera Disposición Complementaria Final de la Ley nº 30229, Ley que adecúa el Uso de las Tecnologías de Información y Comunicaciones en el Sistema de Remates Judiciales y en los servicios de notificaciones de las resoluciones judiciales, y que modifica la Ley Orgánica del Poder Judicial, el Código Procesal Civil, el Código Procesal Constitucional y la Ley Procesal del Trabajo.

59.2 Las notificaciones digitales se realizan de manera obligatoria a la casilla única electrónica del ciudadano o persona en general, sin requerir su consentimiento o autorización expresa. Excepcionalmente, y sólo en caso de que una notificación no se pueda realizar de manera digital, se realiza en forma física, atendiendo lo establecido en el artículo 20 del TUO de la Ley nº 27444.

59.3 La notificación digital puede ser remitida a la casilla única electrónica de un tercero, siempre que el ciudadano o persona en general lo haya autorizado expresamente al inicio o durante del procedimiento. La autorización a la que se refiere el presente numeral se realiza por cada procedimiento del cual sea parte el ciudadano o persona en general, siendo válida únicamente durante dicho procedimiento y en tanto no se comunique su variación. La autorización, así como el término o cambio de este se realiza de acuerdo con los formularios que se implementen para tal fin a través de la Plataforma CASILLA ÚNICA PERÚ.

59.4 Las notificaciones digitales tienen la misma validez y eficacia jurídica que las notificaciones realizadas por medios físicos tradicionales, para lo cual cumplen con las siguientes exigencias: oportunidad, suficiencia y debido procedimiento. La notificación digital efectuada forma parte del expediente electrónico.

59.5 Las notificaciones digitales permiten comprobar su depósito en el buzón electrónico de la casilla única electrónica, el cual contiene datos referidos a: la propia notificación, a la fecha del depósito, a quien la recibe y al contexto tecnológico utilizado.

59.6 Las notificaciones digitales se realizan en día y hora hábil conforme a lo establecido en el numeral 18.1 del artículo 18 del TUO de la Ley nº 27444. La notificación digital se considera efectuada y surte efectos al día hábil siguiente a la fecha de su depósito en la casilla única electrónica. Las entidades depositan una copia del documento en el que consta el acto administrativo o actos de administración generados durante el procedimiento en el buzón de notificaciones de la casilla única electrónica. En caso la notificación digital se realice en día u hora inhábiles ésta surte efecto al primer día hábil siguiente a la fecha de su depósito en la casilla única electrónica.

59.7 El cómputo de los plazos expresados en días se inicia a partir del día hábil siguiente de aquel en que la notificación vía casilla única electrónica se considera efectuada, salvo que se señale una fecha posterior en el mismo acto notificado, en cuyo caso el cómputo de plazos es iniciado a partir de esta última.

Artículo 60. Dispensa de la notificación digital

60.1 La entidad queda dispensada de efectuar una notificación digital si y solo sí permite que el ciudadano o persona en general tome conocimiento del acto respectivo mediante el acceso directo y espontáneo a una copia de su expediente electrónico en su sede digital, dejando evidencia y constancia de esta situación en el referido expediente.

60.2 El ciudadano o persona en general accede a la documentación del expediente electrónico o acto que haya sido emitido por la entidad pudiendo descargarlo.

Artículo 61. Régimen de la notificación digital

61.1 Cuando una notificación digital tiene un único destinatario se realiza a la casilla única electrónica del mismo.

61.2 Cuando sean varios los destinatarios de una notificación digital, el acto es notificado a la casilla única electrónica de cada destinatario, salvo sí actúan bajo una misma representación o si han elegido la casilla única electrónica de uno de los destinatarios, en cuyo caso se remite la notificación a dicha casilla.

Artículo 62. Obligaciones de los titulares de la casilla única electrónica

Los ciudadanos y personas en general son los titulares de la casilla única electrónica, y tienen las siguientes obligaciones:

a) Revisar frecuentemente la casilla única electrónica asignada, a efectos de tomar conocimiento de los actos administrativos y actuaciones administrativas que se le notifique.

b) Adoptar las medidas de seguridad en el uso de la casilla única electrónica que se le asigne.

c) Informar a la Secretaría de Gobierno Digital el fin o cese de la delegación del acceso de terceros a la casilla única electrónica asignada conforme a lo establecido en el numeral 57.3 del presente Reglamento.

d) Informar a la Secretaría de Gobierno Digital el cese de la autorización para la remisión de la notificación digital a la casilla única electrónica de un tercero conforme a lo establecido en el numeral 59.3 del presente Reglamento.

e) Cumplir las condiciones establecidas y normas emitidas por la Secretaría de Gobierno Digital para el uso de la casilla única electrónica.

CAPÍTULO VII.- REUNIÓN DIGITAL

Artículo 63. Reuniones digitales

63.1 Las reuniones que lleven a cabo los funcionarios o servidores públicos con los ciudadanos, personas en general u otros funcionarios o servidores públicos, pueden realizarse de manera no presencial, utilizando tecnologías digitales tales como las videoconferencias, audioconferencias, teleconferencias o similares.

63.2 Las entidades de la Administración pública realizan las coordinaciones correspondientes para confirmar la identidad de las personas que participan en una reunión digital, la disponibilidad de tecnologías digitales, el tipo de reunión a realizar y las condiciones o supuestos previstos conforme al ordenamiento jurídico.

Artículo 64. Reunión digital en el marco del procedimiento administrativo

64.1 Las reuniones digitales pueden ser aplicadas en las sesiones o asambleas de órganos colegiados, audiencias como medio de prueba o actividades de fiscalización que realicen las entidades públicas conforme a lo establecido en los artículos 109, 177 y numeral 240.2 del artículo 240 del TUO de la Ley nº 27444 respectivamente, garantizando el principio del debido procedimiento.

64.2 Las partes adoptan las medidas pertinentes para contar con los equipos y condiciones necesarias para la realización de las sesiones, asambleas, audiencias o actividades de fiscalización cuando se realicen a través de reuniones digitales. Las reuniones digitales pueden ser grabadas para posterior revisión, evidencia o en cumplimiento del marco normativo del procedimiento administrativo. Asimismo, cuando corresponda se debe comunicar al ciudadano dicha grabación atendiendo lo establecido en la Ley nº 27933, Ley de Protección de Datos Personales y su Reglamento.

Artículo 65. Acta de reunión digital

65.1 Las actas o acuerdos emitidos como resultado de una reunión digital, en el marco de actividades de coordinación entre entidades de la Administración pública, pueden ser generados como documentos electrónicos firmados con alguna modalidad de firma electrónica establecida en la Ley nº 27269, Ley de Firmas y Certificados Digitales. Las entidades de la Administración pública participantes acuerdan la modalidad de firma a utilizar.

65.2 Las actas o acuerdos emitidos como resultado de una reunión digital a cargo de una entidad de la administración pública, en el marco de un procedimiento administrativo, pueden ser generados como documentos electrónicos firmados conforme a lo siguiente:

a) Acta de reunión firmada por el funcionario, esta se cumple con la firma digital del funcionario más un sello de tiempo, generados en el marco de la IOFE.

b) Acta de reunión firmada por las partes, esta se cumple utilizando la firma digital de las partes, generada en el marco de la IOFE, o alguna modalidad de firma electrónica distinta a la firma digital, de conformidad con la Cuarta Disposición Complementaria Final del Decreto Supremo nº 026-2016-PCM, que aprueba medidas para el fortalecimiento de la Infraestructura Oficial de Firma Electrónica y la implementación progresiva de la firma digital en el sector público y privado.

TÍTULO V.- DATOS

CAPÍTULO I.- MARCO DE GOBERNANZA Y GESTIÓN DE DATOS DEL ESTADO PERUANO

Artículo 66. Marco de Gobernanza y Gestión de Datos del Estado Peruano

66.1 El Marco de Gobernanza y Gestión de Datos del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en gobierno de datos, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para la aplicación de la gobernanza y gestión de datos por parte de las entidades de la Administración Pública a fin de garantizar un nivel básico y aceptable para la recopilación, producción, procesamiento, analítica, publicación, almacenamiento, distribución y puesta a disposición de los datos gubernamentales, haciendo uso de tecnologías digitales y emergentes.

66.2 El Marco de Gobernanza y Gestión de Datos del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la implementación de iniciativas de gobierno digital y prestación de servicios digitales brindados a los ciudadanos y personas en general, salvo aquellos datos que se rijan por norma expresa.

66.3 El Marco de Gobernanza y Gestión de Datos del Estado Peruano comprende los siguientes niveles:

a) Gobernanza y gestión de datos del Estado Peruano.

b) Gestión de datos sectoriales.

c) Gestión de datos institucionales.

Artículo 67. Principios específicos del Marco de Gobernanza y Gestión de Datos

La aplicación del Marco de Gobernanza y Gestión de Datos se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Liderazgo y estrategia. El liderazgo y compromiso de la alta dirección en la gobernanza de datos orienta al uso eficiente de datos para el cumplimiento de los objetivos institucionales.

b) Valoración de datos. Se reconoce a los datos gubernamentales como un activo estratégico para la toma efectiva de decisiones, atención oportuna de solicitudes de información y prestación de servicios.

c) Cultura de datos. Se promueve una cultura impulsada por datos para la toma de decisiones estratégicas basadas en la interpretación, recopilación, organización y análisis de los datos para generar valor público para los ciudadanos.

d) Responsabilidad de todos. La gestión de datos gubernamentales es una responsabilidad compartida entre los propietarios de los datos y los responsables de la recopilación, procesamiento, almacenamiento y distribución.

e) Cumplimiento y riesgo. Los datos gubernamentales son cuidadosamente gestionados como cualquier otro activo, asegurando su protección, seguridad, privacidad, calidad, estandarización, uso apropiado y cumplimiento regulatorio.

f) Calidad de datos. Los datos gubernamentales preservan características de exactitud, actualización y completitud fundamentales para satisfacer las necesidades de digitalización y despliegue del gobierno digital.

Artículo 68. Roles para la gobernanza y gestión de datos

68.1 El Comité de Gobierno Digital es el responsable de la gobernanza y uso estratégico de los datos en la entidad, estableciendo las políticas y directrices institucionales en la materia, en cumplimiento de los lineamientos y normas emitidas por la Secretaría de Gobierno Digital. Asimismo, el Comité impulsa una cultura basada en datos e iniciativas que aseguren la calidad, uso adecuado e interoperabilidad de los datos.

68.2 El Oficial de Gobierno de Datos es el rol responsable de asegurar el uso ético de las tecnologías digitales y datos en la entidad pública, proponer iniciativas de innovación basadas en datos, fomentar una cultura basada en datos, articular y gestionar el uso de datos gubernamentales, y asegurar la calidad e integridad de datos que contribuya a la creación de valor público. Asimismo, es responsable impulsar y coordinar el modelamiento, procesamiento, análisis y desarrollo de servicios de información de datos gubernamentales y datos abiertos con los responsables de los procesos correspondientes, así como de coordinar la implementación del Modelo de Referencia de Datos de la entidad.

68.3 El Oficial de Gobierno de Datos reporta al Comité de Gobierno Digital institucional y, a la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros la implementación y aplicación de las normas en materia de gobernanza y gestión de datos.

68.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil y responsabilidades del Oficial de Gobierno de Datos en la Administración Pública. El titular de la entidad designa al Oficial de Gobierno de Datos institucional y comunica a la Secretaría de Gobierno Digital dicha designación.

68.5 Los dueños de los procesos o en su defecto los responsables de las unidades de organización de la entidad son los propietarios de los datos que están bajo su responsabilidad, en cumplimiento de sus funciones o responsabilidades, y se encargan de cumplir con la regulación y los estándares de calidad que les aplican, así como coordinar con el Oficial de Gobierno de Datos toda iniciativa de mejora en su proceso basada en datos.

68.6 El Oficial de Datos Personales es el rol responsable de velar por el cumplimiento de las normas en materia de protección de datos personales en su entidad. Dicho rol es ejercido por un funcionario o servidor público designado por la máxima autoridad administrativa de la entidad, el mismo que puede recaer en el titular de la oficina de asesoría jurídica de la entidad o en el titular de la oficina de tecnologías de la información de la misma, o quienes hagan sus veces. El Oficial de Datos Personales actúa como enlace con la Autoridad Nacional de Protección de Datos Personales, coopera y sigue los lineamientos y directivas que emita dicha Autoridad en los ámbitos de su competencia, así como aquellos establecidos en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. Su designación se realiza en un plazo máximo diez (10) días hábiles posterior a la publicación del presente Reglamento y se comunica de manera inmediata a la Autoridad Nacional de Protección de Datos Personales.

CAPÍTULO II.- INFRAESTRUCTURA NACIONAL DE DATOS

Artículo 69. Infraestructura Nacional de Datos

69.1 La Infraestructura Nacional de Datos comprende el conjunto articulado de políticas, normas, medidas, procesos, tecnologías digitales, datos gubernamentales, repositorios y bases de datos destinadas a promover la adecuada recopilación, producción, procesamiento, analítica, publicación, almacenamiento, distribución y puesta a disposición de los datos que gestionan las entidades de la Administración Pública, así como el Marco de Gobernanza y Gestión de Datos y Estrategia Nacional de Datos que siguen las mismas. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en gobierno de datos, es responsable de la gobernanza y gestión de la Infraestructura Nacional de Datos, y en el ejercicio de su rectoría establece relaciones de coordinación con los actores correspondientes, conforme a la normatividad vigente en materia de protección de datos personales.

69.2 La Infraestructura Nacional de Datos comprende los siguientes ámbitos:

a) Estadística, a cargo del Instituto Nacional de Estadística e Informática (INEI) quien orienta, promueve y conduce la producción estadística oficial.

b) Espacial o Georreferenciada, a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien orienta, promueve y coordina el intercambio y uso de datos y servicios de información espacial o georreferenciada.

c) Privados o Personales, a cargo del Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales, la que orienta, promueve y conduce la materia de protección de datos personales.

d) Datos Abiertos, a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien orienta, norma, promueve y conduce la materia de datos abiertos.

69.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los ámbitos establecidos en el numeral precedente en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital. Asimismo, en coordinación con los actores competentes desarrolla las normas complementarias para la adecuada gobernanza y gestión de datos gubernamentales.

Artículo 70. Datos gubernamentales

70.1 Los datos gubernamentales son aquellos datos que las entidades públicas recopilan, producen, procesan, analizan, publican, almacenan, distribuyen y ponen a disposición en el ejercicio de sus funciones y cuando corresponda atendiendo las normas en materia de transparencia, datos personales y datos abiertos. Los datos gubernamentales se organizan en datos maestros y datos complementarios.

70.2 Los datos maestros son un conjunto organizado de datos gubernamentales que representan objetos o elementos claves de las entidades, son utilizados en el ejercicio de sus funciones, procesos o prestación de servicios, están vinculados con su misión y procesos misionales, y tienen asignado un identificador único.

70.3 Los datos complementarios son aquellos que en conjunto con los datos maestros describen los elementos que las entidades públicas utilizan en el ejercicio de sus funciones, procesos o prestación de servicios.

70.4 Las entidades públicas identifican y mantienen sus datos maestros, sus atributos y relaciones, y desarrollan un modelo de referencia de datos; dicho modelo se basa en estándares internacionales reconocidos, vocabularios y términos descriptivos que le dan contexto y facilitan su intercambio, interpretación y reutilización.

Artículo 71. Plataforma Nacional de Datos abiertos

71.1 Las entidades de la Administración Pública publican datos gubernamentales producidos, procesados, almacenados y/o recolectados en plataformas digitales, cuya publicidad no se encuentre excluida por normas específicas en materia de transparencia, en formatos abiertos en la Plataforma Nacional de Datos Abiertos, priorizando aquellos que son de interés nacional o estratégicos para la implementación de políticas de Estado y políticas de gobierno. Para ello la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, coordina con los ministerios rectores de los sectores dicha priorización y publicación obligatoria.

71.2 Las entidades de la Administración Pública implementan mecanismos que permitan que los datos publicados en la Plataforma Nacional de Datos Abiertos sean legibles por las personas y procesables por máquina, conforme a los lineamientos que emita la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

71.3 Las entidades de la Administración Pública aplican herramientas o técnicas de disociación y anonimización de datos personales u otra información que se encuentre excluida por la normativa de transparencia conforme a la normatividad vigente en materia de datos personales, antes de su publicación en la Plataforma Nacional de Datos Abiertos, y cuando corresponda.

71.4 Mediante Resolución de Secretaría de Gobierno Digital se puede disponer la publicación de datos abiertos por parte de las entidades de la Administración Pública para fines de investigación científica, seguridad ciudadana, estadísticas demográficas, educación, diseño de políticas públicas, investigación en salud, iniciativas de gobierno digital, productividad y competitividad, transporte inteligente, análisis económico, comercio o situaciones de emergencia. Asimismo, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba la Estrategia Nacional de Datos Abiertos.

Artículo 72. Identificadores únicos fundamentales

72.1 Los identificadores únicos fundamentales son un conjunto de códigos o números que permiten distinguir un objeto o elemento de otros, con características y atributos comunes, en el entorno digital. Son de carácter estratégico y transversal, para facilitar la interoperabilidad y estandarización en la Administración pública.

72.2 Se establecen como identificadores únicos fundamentales para la prestación de servicios digitales o trámites, cuando correspondan, los siguientes:

a) Código Único de Identificación de personas naturales, a cargo del RENIEC.

b) Código Único de Identificación de extranjeros, a cargo de MIGRACIONES.

c) Número de Partida Registral de personas jurídicas y Número de la placa única nacional de rodaje del vehículo, a cargo de la Superintendencia Nacional de Registros Públicos (SUNARP).

d) Código de ubicación geográfica (UBIGEO), Clasificador de Actividades Económicas, Código de Ocupaciones y Código de Carreras e Instituciones Educativas de Educación Superior y Técnico Productivas, Clasificador Nacional de Programas e Instituciones de Educación Superior Universitaria, Pedagógica, Tecnológica y Técnico Productiva, a cargo del Instituto Nacional de Estadística e Informática (INEI).

72.3 Las entidades a cargo de los identificadores únicos fundamentales establecen las normas de gestión de estos. Asimismo, aseguran la interoperabilidad entre ellos con la finalidad de prestar servicios digitales centrados en la persona.

72.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas para la adopción de los identificadores únicos fundamentales por parte de las entidades de la Administración Pública, y amplía los establecidos en el numeral 72.2 precedente, en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande.

Artículo 73. Vocabularios

73.1 Los vocabularios son grupos de datos que permiten unificar la interpretación y el significado de un objeto o elemento para hacer posible la interoperabilidad entre sistemas de información.

73.2 Los vocabularios básicos para la prestación de servicios digitales son los relativos a: persona natural, persona jurídica, vehículo, predio y trámite. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, mediante Resolución de Secretaría de Gobierno Digital amplía los vocabularios básicos.

73.3 Los vocabularios forman parte del Modelo de Referencia de Datos establecido en el numeral 118.2 del artículo 118 del presente Reglamento.

Artículo 74. Perfil mínimo de metadatos

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con los responsables de los ámbitos de la Infraestructura Nacional de Datos establece los perfiles mínimos de metadatos en cada uno de sus ámbitos, para asegurar el entendimiento de los datos y garantizar su disponibilidad, accesibilidad, conservación, integración e interoperabilidad.

Artículo 75. Lineamientos para la calidad, uso y aprovechamiento de datos gubernamentales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite los lineamientos, procedimientos, estándares y estrategias para asegurar la calidad, uso adecuado y aprovechamiento de datos gubernamentales en materia de ciencia de datos, inteligencia artificial, registros distribuidos u otras tecnologías.

Artículo 76. Datos para la producción estadística digital

76.1 Toda entidad pública que disponga de datos gubernamentales sistematizados y digitalizados los publica como datos o conjunto de datos abiertos, a través de la Plataforma Nacional de Datos Abiertos, para fines de producción estadística oficial por parte del Instituto Nacional de Estadística e Informática.

76.2 El Instituto Nacional de Estadística e Informática en función de sus capacidades y recursos realiza actividades estadísticas oficiales a través de Internet; para tal fin puede utilizar los bloques básicos para la interoperabilidad técnica establecidos en el artículo 87 del presente Reglamento, cuando corresponda.

CAPÍTULO III.- DATOS GEORREFERENCIADOS

Artículo 77. Plataforma Nacional de Datos Georreferenciados

77.1 Créase la Plataforma Nacional de Datos Georreferenciados, denominada GEOPERÚ, como la plataforma digital única de integración de datos espaciales o georreferenciados y estadísticos, que armoniza las bases de datos de las entidades de la Administración Pública, para el análisis de datos y la toma de decisiones con enfoque territorial. GEOPERÚ es administrada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, bajo el dominio www.geoperu.gob.pe.

77.2 GEOPERÚ contiene categorías de información relacionadas, de manera no limitativa, a la cartografía, infraestructura, pobreza, proyectos de inversión pública, programas sociales, salud, educación, economía, agrario, turismo, cultural, ambiental, conflictos sociales, y violencia de género del país. Puede ser usado como plataforma de geovisualización e incorporación de datos georreferenciados para entidades que no posean herramientas.

77.3 Las entidades de la Administración Pública comparten y/o publican datos georreferenciados y servicios de información georreferenciada en la Plataforma GEOPERÚ a fin de garantizar la disponibilidad de los datos necesarios para la toma de decisiones estratégicas. La Secretaría de Gobierno Digital emite los lineamientos para la gestión de la Plataforma GEOPERU y articula esfuerzos con el sector privado, la sociedad civil y la academia para la utilización de la información georreferenciada en beneficio del país.

Artículo 78. Catálogo Nacional de Metadatos Espaciales

78.1 Créase el Catálogo Nacional de Metadatos Espaciales para la búsqueda, evaluación y acceso a los datos, servicios y aplicaciones espaciales producidos y mantenidos por las entidades de la Administración Pública. Es parte de la Infraestructura Nacional de Datos Espaciales del Perú (IDEP) y es administrado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

78.2 Las entidades de la Administración Pública registran los metadatos de sus servicios de información espacial o georreferenciada en el Catálogo Nacional de Metadatos Espaciales. La Secretaría de Gobierno Digital emite los lineamientos para la gestión de metadatos de los servicios de información espacial o georreferenciada.

78.3 Las entidades de la Administración Pública verifican en el Catálogo Nacional de Metadatos Espaciales la existencia de algún tipo de información georreferenciada disponible antes de crear un servicio de información espacial o georreferenciado, o para su reutilización en el desarrollo de nuevos productos espaciales o georreferenciados.

78.4 Asimismo, las entidades son responsables de asegurar la disponibilidad, continuidad y funcionamiento de los servicios de información espacial o georreferenciada que son de su competencia.

TÍTULO VI.- INTEROPERABILIDAD

CAPÍTULO I.- MARCO DE INTEROPERABILIDAD DEL ESTADO PERUANO

Artículo 79. Marco de Interoperabilidad del Estado Peruano

79.1 El Marco de Interoperabilidad del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la interoperabilidad, que emite políticas, lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de garantizar la interoperabilidad de los procesos y sistemas de información en los ámbitos correspondientes.

79.2 El Marco de Interoperabilidad del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la utilización, implementación y prestación de servicios digitales brindados a los ciudadanos y personas en general.

79.3 El Marco de Interoperabilidad del Estado Peruano comprende la gestión de la interoperabilidad en la interacción entre procesos y sistemas de información de las entidades de la Administración Pública.

Artículo 80. Principios específicos del Marco de Interoperabilidad del Estado Peruano

La aplicación del Marco de Interoperabilidad del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Cooperación y colaboración. Se promueve la cooperación y colaboración para intercambiar y compartir datos, información, experiencias y recursos a fin de diseñar, implementar y desplegar servicios digitales que permitan alcanzar el bienestar de las personas y el desarrollo sostenible del país.

b) Reutilización. Se promueve la reutilización de datos, información, conocimiento y recursos existentes, evitando duplicar esfuerzos, y permitiendo ahorrar tiempo y dinero.

c) Interoperabilidad desde el diseño. Los sistemas de información que soportan servicios digitales se diseñan atendiendo los objetivos acordados, los requisitos de interoperabilidad y la posible reutilización de datos y servicios.

d) Seguridad. El intercambio de datos, información y recursos entre las entidades de la Administración Pública no afecta su integridad, disponibilidad o confidencialidad.

e) Apertura. Asegurar y dar preferencia al uso de software público o de código abierto, así como al uso de estándares abiertos para el diseño y construcción de los sistemas de información.

f) Enfoque participativo. No se restringe la participación de ninguna entidad de la Administración Pública para el consumo y publicación de los servicios de información disponibles, salvo excepciones establecidas por norma expresa.

g) Independencia tecnológica. Los sistemas de información de las entidades de la Administración Pública se comunican entre sí, independientemente de la plataforma y arquitectura tecnológica en las que fueron implementados.

Artículo 81. Modelo de Interoperabilidad del Estado Peruano

81.1 El Modelo de Interoperabilidad es la representación holística y sistémica de los componentes que comprende el Marco de Interoperabilidad del Estado Peruano, aplicable a todos los sistemas de información de las entidades de la Administración Pública que interoperan entre ellos, atendiendo los principios establecidos en el artículo 80 del presente Reglamento y aquellos establecidos en la Ley.

81.2 El Modelo de Interoperabilidad del Estado Peruano comprende los siguientes componentes:

a) Principios.

b) Procesos de la interoperabilidad.

c) Niveles para la interoperabilidad.

d) Bloques básicos para la interoperabilidad técnica.

e) Servicios digitales conforme a lo establecido en el Título III.

f) Entidades de la Administración pública.

g) Ciudadanos y personas en general.

CAPÍTULO II.- GESTIÓN DEL MARCO DE INTEROPERABILIDAD DEL ESTADO PERUANO

Artículo 82. Gestión del Marco de Interoperabilidad del Estado peruano

La gestión del Marco de Interoperabilidad del Estado Peruano comprende los niveles o perspectivas establecidas en el artículo 28 de la Ley, los cuales se consideran en el diseño de un servicio digital.

Artículo 83. Interoperabilidad a nivel Legal

83.1 Las entidades públicas a solicitud de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros informan el avance de cumplimiento de las políticas de Estado, políticas de gobierno en materia digital y de interoperabilidad.

83.2 Las iniciativas o acciones de interoperabilidad que promuevan las entidades públicas son realizadas en cumplimiento del Marco de Interoperabilidad del Estado Peruano y normas específicas sobre la materia.

83.3 La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros evalúa y propone acuerdos de interoperabilidad transfronteriza en materia de gobierno digital.

Artículo 84. Interoperabilidad a nivel Organizacional

84.1 Las entidades públicas articulan sus planes y demás instrumentos de gestión con las políticas de Estado y de gobierno en materia digital, de manera que aseguren la implementación y mantenimiento de servicios digitales accesibles, seguros e interoperables.

84.2 Las entidades públicas cuentan con una estructura organizacional y procesos que les permita desarrollar y mantener capacidades para interoperar y reutilizar servicios de información, software u otros recursos.

84.3 Las entidades públicas identifican al dueño del proceso, órgano o unidad orgánica responsable de asegurar la exactitud, actualización y completitud de los datos provistos a través de servicios de información.

84.4 Las entidades proveedoras de servicios de información establecen y suscriben las condiciones de acceso y uso de sus servicios con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en base a los instrumentos, procedimientos y mecanismos definidos para dicho fin.

84.5 Las entidades consumidoras solicitan el acceso y uso de servicios de información a la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en base a los instrumentos, procedimientos y mecanismos definidos por ésta.

Artículo 85. Interoperabilidad a nivel Semántico

85.1 Los vocabularios a los que hace referencia el artículo 73 del presente Reglamento, son instrumentos para ser usados por todas las entidades públicas en el diseño de sus sistemas de información, bases de datos, formatos electrónicos o iniciativas de interoperabilidad. Estos vocabularios son simples, reutilizables y extensibles.

85.2 Las entidades públicas extienden los vocabularios básicos con los datos maestros y complementarios que resulten necesarios para crear formatos electrónicos destinados al intercambio de datos e información con propósitos específicos, en base a los lineamientos que defina la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y conforme a lo siguiente:

a) Los Ministerios en coordinación con sus organismos públicos, programas y proyectos elaboran y mantienen vocabularios extendidos que resulten necesarios para la interoperabilidad en su sector y con otros sectores.

b) Los Organismos Constitucionales Autónomos elaboran vocabularios extendidos que resulten necesarios para la adecuada prestación de servicios digitales e interoperabilidad con otras entidades públicas.

c) Los Gobiernos Regionales elaboran vocabularios extendidos que resulten necesarios para la adecuada prestación de servicios digitales en su ámbito territorial; sin perjuicio de ello pueden reutilizar algún otro vocabulario desarrollado.

d) Las demás entidades en función de sus necesidades y contexto elaboran y mantienen vocabularios extendidos para la adecuada prestación de servicios digitales.

85.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, asigna a cada entidad de la Administración Pública, y a todo aquello que requiera ser distinguido, un identificador de objetos (OID) que permita asegurar la interoperabilidad en el Estado Peruano.

Artículo 86. Interoperabilidad a nivel Técnico

86.1 Las entidades públicas utilizan obligatoriamente estándares técnicos abiertos, y excepcionalmente y de forma complementaria, estándares técnicos no abiertos en aquellas circunstancias en las que no se disponga de un estándar técnico abierto que satisfaga la funcionalidad necesaria, y sólo mientras dicha disponibilidad no se produzca.

86.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con las entidades de la Administración Pública promueven las actividades de adopción y normalización con el fin de facilitar la disponibilidad de los estándares técnicos abiertos relevantes para sus necesidades.

86.3 Los criterios para la determinación de un estándar técnico abierto son:

a) Ser mantenido por una organización sin fines de lucro.

b) Haber sido desarrollado dentro de un proceso inclusivo y abierto a todas las partes interesadas.

c) Estar disponible de forma gratuita o a un costo mínimo.

d) No estar sujeto a ningún tipo de pago o tasa, por derechos de propiedad intelectual u otros.

e) Tener múltiples implementaciones, sin favorecer o proveer derechos exclusivos a un vendedor particular o a una marca específica.

86.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, administra y mantiene un Catálogo de Estándares Abiertos que contiene una relación de estándares técnicos para facilitar la interoperabilidad de datos, aplicativos y servicios digitales en el Estado Peruano.

86.5 Los bloques básicos para la interoperabilidad técnica son recursos tecnológicos que forman parte del Marco de Interoperabilidad del Estado Peruano.

Artículo 87. Bloques básicos para la Interoperabilidad técnica

87.1 Son aquellos recursos tecnológicos reutilizables que permiten la definición, diseño, desarrollo y prestación de servicios digitales de forma eficiente, efectiva y colaborativa.

87.2 Los bloques básicos para la interoperabilidad técnica son:

a) Plataforma de Interoperabilidad del Estado (PIDE).

b) Plataforma de Pagos Digitales del Estado Peruano (PÁGALO.PE).

c) Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE), creada en el artículo 14 del Título II del presente Reglamento.

d) Plataforma Casilla Única Electrónica del Estado Peruano (CASILLA ÚNICA PERÚ), creada en el artículo 58 del Título IV del presente Reglamento.

e) Plataforma Única de Recepción Documental del Estado Peruano (MESA DIGITAL PERÚ), creada en el artículo 46 del Título IV del presente Reglamento.

f) Plataforma Nacional de Software Público Peruano (PSPP).

g) Plataforma Nacional de Firma Digital (FIRMA PERÚ).

h) Infraestructura Tecnológica y Plataforma como Servicio (NUBE PERÚ).

87.3 Las entidades públicas utilizan de manera obligatoria los bloques básicos para la interoperabilidad técnica en el diseño, construcción y prestación de sus servicios digitales, así como en el desarrollo de sus procesos o procedimientos de gestión interna y actuaciones administrativas provistas a través de Internet, Extranet o Intranet, según corresponda.

87.4 El uso de los bloques básicos para la interoperabilidad técnica por parte de las entidades públicas no requiere la suscripción de convenios de colaboración o similares con las entidades a cargo de un determinado bloque. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba los instrumentos, acuerdos de nivel de servicio, procedimientos y disposiciones para el uso de los bloques básicos para la interoperabilidad técnica.

87.5 Las entidades a cargo de un determinado bloque básico para la interoperabilidad técnica están obligadas a ponerlos a disposición de todas las entidades de la Administración pública conforme a los instrumentos aprobados por la Secretaría de Gobierno Digital para su uso, sin requerir la suscripción de un convenio de colaboración o documento similar. Asimismo, las referidas entidades suscriben con la Secretaría de Gobierno Digital un acuerdo de nivel de servicio sobre las capacidades de disponibilidad, escalabilidad y seguridad del bloque a su cargo.

87.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los bloques básicos para la interoperabilidad técnica establecidos en el numeral 87.2 en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Artículo 88. Plataforma de Interoperabilidad del Estado

88.1 La Plataforma de Interoperabilidad del Estado (PIDE) es una infraestructura tecnológica que facilita la implementación de servicios digitales en la Administración Pública. Se constituye en la capa de intercambio seguro y verificable de datos entre procesos y sistemas de información de las entidades públicas.

88.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, administra la Plataforma de Interoperabilidad del Estado y establece sus condiciones de uso y mecanismos de integración.

88.3 El intercambio de datos e información a través de la Plataforma de Interoperabilidad del Estado se realiza entre entidades consumidoras y proveedoras de servicios de información, donde:

a) Las entidades proveedoras de servicios de información son aquellas entidades que publican un servicio de información en la PIDE en función de la regulación, acuerdos y necesidades de digitalización o transformación digital del Estado.

b) Las entidades consumidoras de servicios de información son aquellas entidades que consumen un servicio de información de la PIDE como parte de la prestación de un servicio digital.

c) Un servicio de información es aquel que provee datos e información que las entidades públicas gestionan en sus sistemas de información e intercambian a través de la PIDE.

88.4 La Plataforma de Interoperabilidad del Estado integra varios servicios de información publicados en ella, que por su ámbito, contenido o naturaleza resulten necesarios para satisfacer de manera ágil y eficiente las necesidades de las entidades consumidoras de servicios de información.

88.5 La Plataforma de Interoperabilidad del Estado puede proveer infraestructura tecnológica como servicio para la implementación de servicios de información de un determinado sector o grupo de entidades en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande. El uso de la referida plataforma es obligatorio por parte de todas las entidades de la Administración Pública de los tres niveles de gobierno, como mínimo, en el intercambio, orquestación, composición, integración de datos, información o conocimiento entre procesos y sistemas de información de dos o más entidades, quedando prohibido el desarrollo, adquisición, contratación de plataformas similares o equivalentes que tengan el mismo fin a partir de la publicación de la presente norma.

88.6 Los servicios de información publicados en la Plataforma de Interoperabilidad del Estado implementan métodos o interfaces entre aplicaciones, en modalidades síncrona o asíncrona respectivamente, para retornar la información firmada digitalmente utilizando un certificado digital de agente automatizado, observando las disposiciones legales sobre la materia y lo establecido en los estándares aprobados por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

88.7 Todas las entidades públicas que pongan a disposición algún servicio de información, aseguran que en su diseño y desarrollo se hayan implementado las medidas y controles que permitan proteger adecuadamente la seguridad de los datos mediante el uso de protocolos seguros de almacenamiento y comunicación, algoritmos de cifrado estándar y otros aspectos pertinentes, de acuerdo con la normatividad vigente y las buenas prácticas que existen en materia de desarrollo de software, seguridad de la información y protección de datos personales.

88.8 Las entidades de la Administración Pública reutilizan los servicios de información publicados en el Catálogo Nacional de Servicios de Información, creado en el artículo 7 del Decreto Legislativo nº 1211, Decreto Legislativo que aprueba Medidas para el fortalecimiento e implementación de servicios públicos integrados a través de ventanillas únicas e intercambio de información entre entidades públicas y modificatoria, de la Plataforma de Interoperabilidad del Estado que puedan satisfacer de forma total o parcial las necesidades de digitalización de sus procesos o servicios, o la mejora y actualización de los ya existentes.

88.9 La publicación y consumo de servicios de información se realiza en base a los procedimientos que defina la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y las normas vigentes sobre la materia. Las entidades proveedoras de servicios de información suscriben Acuerdos de Nivel de Servicio (ANS) con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros a fin de garantizar el cumplimiento y disponibilidad del servicio, los cuales son firmados digitalmente. En el caso del consumo de servicios de información las entidades atienden los referidos Acuerdos de Nivel de Servicio.

Artículo 89. Plataforma de Pagos Digitales del Estado Peruano

89.1 La Plataforma de Pagos Digitales del Estado Peruano (PÁGALO.PE) es aquella plataforma digital que permite el pago en línea de los derechos de tramitación, conforme a lo establecido en el artículo 6 del Decreto Legislativo nº 1246, Decreto Legislativo que aprueba diversas medidas de simplificación administrativa.

89.2 La plataforma de pagos digitales PÁGALO.PE comprende funcionalidades que aseguren su acceso a través de la web y dispositivos móviles de forma nativa; y permitan su integración directa con servicios digitales prestados por las entidades de la Administración Pública.

89.3 El Banco de la Nación administra la plataforma de pagos digitales PÁGALO.PE, establece sus condiciones de uso, mecanismos de arquitectura digital, seguridad digital e integración, y publica datos en formatos abiertos sobre el uso de la plataforma PÁGALO.PE en la Plataforma Nacional de Datos Abiertos. Asimismo, la Secretaría de Gobierno Digital emite las normas y disposiciones con respecto a la adopción de la plataforma PÁGALO.PE por parte de las entidades de la Administración Pública.

89.4 La plataforma de pagos digitales PÁGALO.PE admite cualquier modalidad de pago, incluyendo el dinero electrónico, regulado conforme a lo dispuesto en la Ley nº 29985, Ley del Dinero Electrónico y normas reglamentarias.

89.5 La plataforma de pagos digitales PÁGALO.PE permite generar un ticket para el pago en efectivo de los derechos de tramitación en cualquier agente corresponsal del Banco de la Nación a nivel nacional, en caso el ciudadano carezca de medios de pago digitales.

89.6 Las entidades públicas pueden hacer uso de otros mecanismos o plataformas de pago digital seguras regulados por la Superintendencia de Banca, Seguros y AFP para el pago de sus derechos de tramitación, de conformidad con la normatividad del Sistema Nacional de Tesorería.

Artículo 90. Plataforma Nacional de Software Público Peruano

90.1 La Plataforma Nacional de Software Público Peruano (PSPP) es la plataforma digital que facilita el acceso y reutilización del Software Público Peruano (SPP), conforme a lo establecido en el Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano y normas complementarias.

90.2 El Catálogo de Software Público Peruano permite buscar, acceder y evaluar un SPP para su reutilización por parte de las entidades públicas, y es mantenido por la Presidencia del Consejo Ministros, a través de la Secretaría de Gobierno Digital.

90.3 Las entidades de la Administración Pública reutilizan los SPP disponibles en el Catálogo de Software Público Peruano que puedan satisfacer de forma total o parcial las necesidades de digitalización de sus procesos o servicios, o la mejora y actualización de los ya existentes.

90.4 La publicación y reutilización de software público peruano a través del PSPP se realiza entre entidades proveedoras y consumidoras de software público, donde:

a) Entidades proveedoras de software público. Son aquellas entidades que publican un software en la PSPP en función de la regulación y necesidades de digitalización o transformación digital del Estado. Son responsables de mantener actualizado la información de los SPP registrados en el Catálogo de Software Público.

b) Entidades consumidoras de software público. Son aquellas entidades que consumen un software de la PSPP como parte de la prestación de un servicio digital o mejoras en su gestión interna.

90.5 La publicación y/o reutilización de software público peruano por parte de las entidades públicas no requiere la suscripción de convenios de colaboración o similares con las entidades titulares de los mismos, y se realiza en base a los procedimientos establecidos por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros y las normas vigentes sobre la materia.

Artículo 91. Plataforma Nacional de Firma Digital

91.1 Créase la Plataforma Nacional de Firma Digital (FIRMA PERÚ) como la plataforma digital que permite la creación y validación de firmas digitales dentro del marco de la IOFE, para la provisión de los servicios digitales prestados por las entidades de la Administración Pública.

91.2 La Plataforma FIRMA PERÚ está conformada por los softwares acreditados de creación y validación de firmas digitales desarrollados o de titularidad de las entidades públicas en el marco de la Infraestructura Oficial de Firma Electrónica (IOFE). La Secretaría de Gobierno Digital establece el listado de softwares que conforman la Plataforma FIRMA PERÚ, los cuales son puestos a disposición por las entidades públicas correspondientes, sin necesidad de suscribir un convenio o similar, de conformidad con lo dispuesto en el artículo 29 de la Ley. Dichas entidades son responsables de asegurar la disponibilidad de los referidos softwares.

91.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía la lista de software que conforman la Plataforma FIRMA PERÚ en función de la necesidad o avance tecnológico, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

91.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las condiciones de uso, instrumentos, procedimientos, protocolos de integración y gestión de indicadores de la Plataforma FIRMA PERÚ; así como también emite las normas y disposiciones con respecto a la adopción progresiva de la Plataforma FIRMA PERÚ y el uso de la firma digital por parte de las entidades de la Administración Pública.

Artículo 92. Infraestructura tecnológica y plataforma como servicio

92.1 La infraestructura tecnológica y plataforma tecnológica como servicio (NUBE PERÚ) habilita el acceso a un conjunto de recursos computacionales compartidos (dispositivos de red, servidores y almacenamiento, software) de forma segura, bajo demanda y a través de Internet. Los recursos son adquiridos y liberados con un esfuerzo administrativo exiguo o mínima interacción con el proveedor del servicio.

92.2 Las entidades de la Administración Pública que requieran infraestructura o plataformas tecnológicas para el ejercicio de sus funciones en el ámbito de sus competencias y despliegue de sus servicios digitales utilizan de forma preferente infraestructuras tecnológicas o plataformas provistas por proveedores de servicios en la nube.

92.3 Las entidades de la Administración Pública que cuentan con infraestructura tecnológica o plataforma tecnológica propia, para el ejercicio de sus funciones en el ámbito de sus competencias, pueden:

a) Compartirla con otras entidades públicas de su sector en función de sus necesidades, proyectos y objetivos en común.

b) Ampliar las capacidades de su infraestructura tecnológica o plataforma tecnológica como servicio para compartir con sus proyectos, programas u órganos desconcentrados, en función de sus necesidades y objetivos en común.

92.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, dicta las directivas o lineamientos para la determinación, adquisición y uso de las infraestructuras tecnológicas provistas en la modalidad de infraestructura como servicio o plataforma como servicio.

92.5 En el caso de las municipalidades pertenecientes a ciudades principales tipo F y G, conforme a la clasificación realizada por el Ministerio de Economía y Finanzas, en el marco del Programa de Incentivos a la Mejora de la Gestión Municipal, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, provee la infraestructura tecnológica o plataformas tecnológicas como servicio para la prestación de sus servicios digitales, sistemas de información o catálogos de servicios de información geográfica, para lo cual emite las disposiciones que regulen dicha prestación. Asimismo, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, puede proveer la infraestructura tecnológica o plataformas tecnológicas como servicio a las municipalidades no pertenecientes a esta clasificación siempre que lo requieran, manifiesten y sustenten técnicamente conforme a la regulación que se emita para dicho fin.

Artículo 93. Datos maestros para la interoperabilidad

Los datos maestros para la interoperabilidad son datos maestros que son reutilizados por las entidades de la Administración Pública para facilitar la interoperabilidad. Utilizan los identificadores únicos fundamentales establecidos en el artículo 72 del presente Reglamento y son fuente de información básica de persona natural, persona jurídica, vehículo, predio y trámite.

TÍTULO VII.- SEGURIDAD DIGITAL

CAPÍTULO I.- MARCO DE SEGURIDAD DIGITAL DEL ESTADO PERUANO

Artículo 94. Marco de Seguridad Digital del Estado Peruano

94.1 El Marco de Seguridad Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la seguridad digital, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de fortalecer la confianza de los ciudadanos, entidades públicas y personas en general en el entorno digital.

94.2 El Marco de Seguridad Digital del Estado Peruano integra aquellas normas que conforman los ámbitos de defensa, inteligencia, justicia e institucional, establecidos en el artículo 32 de la Ley y se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La seguridad digital es un ámbito del Marco de Confianza Digital establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

94.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la encargada de:

(1) definir, articular y dirigir la política, estrategia y planes para el desarrollo de la Seguridad Digital del Estado Peruano,

(2) emitir lineamientos, especificaciones, guías, directivas, normas técnicas y estándares en Seguridad Digital,

(3) supervisar su cumplimiento,

(4) evaluar las necesidades de las entidades, ciudadanos y personas en general en dicho ámbito,

(5) asesorar el Consejo de Seguridad y Defensa Nacional sobre los aspectos relacionados a seguridad digital,

(6) impulsar campañas de sensibilización sobre los riesgos de seguridad digital de la ciudadanía,

(7) promover contenidos digitales para la formación de talento digital en seguridad y,

(8) comunicar al Presidente del Consejo de Ministros los resultados y avances del mismo, a fin de garantizar de manera efectiva la seguridad digital en el país.

Artículo 95. Principios del Marco de Seguridad Digital del Estado Peruano

La aplicación del Marco de Seguridad Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos de la seguridad digital:

a) Seguridad desde el diseño. Los servicios digitales se diseñan y crean atendiendo las necesidades de disponibilidad, integridad y confidencialidad de los datos e información que capturan, procesan y distribuyen.

b) Gestión de riesgos. La gestión de riesgos de seguridad en el entorno digital está integrada en la toma de decisiones, diseño de controles de seguridad en los servicios digitales y procesos de la entidad. Es responsabilidad de la alta dirección dirigirla, mantenerla e incorporarla en la gestión integral de riesgos de la entidad.

c) Colaboración y cooperación. Se promueve el intercambio de información, mejores prácticas y experiencias a fin de identificar y prevenir riesgos de seguridad digital; así como detectar, responder y recuperarse ante incidentes en el entorno digital que afecten la continuidad de las entidades, bienestar de las personas y el desarrollo sostenible del país.

d) Participación responsable. El Estado y la sociedad en su conjunto tienen responsabilidad en la protección de sus datos personales y gestión de riesgos en el entorno digital, en función de sus roles, contexto y su capacidad de actuar, teniendo en cuenta el impacto potencial de sus decisiones con respecto a otros.

e) Protección de datos e información. Se promueve la implementación de medidas y controles de seguridad organizativos, técnicos y legales para preservar la disponibilidad, integridad y confidencialidad de los datos e información que capture, procese, almacene y distribuya una entidad, así como en cualquier otra forma de actividad que facilite el acceso o la interconexión de los datos.

f) Enfoque nacional. La Seguridad Digital es un componente de la seguridad nacional, respalda el funcionamiento del Estado, la sociedad, la competitividad, la economía y la innovación.

g) Enfoque integral. La Seguridad Digital es entendida como un proceso integral y holístico constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con una entidad.

Artículo 96. Modelo de Seguridad Digital

96.1 El Modelo de Seguridad Digital es la representación holística y sistémica de los componentes que comprende el Marco de Seguridad Digital del Estado Peruano, atendiendo los principios establecidos en el artículo 95 del presente Reglamento, aquellos establecidos en la Ley, el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, y las normas en materia de Seguridad de la Información en el Estado Peruano.

96.2 El Modelo de Seguridad Digital comprende los siguientes componentes:

a) Responsables de los ámbitos del Marco de Seguridad Digital.

b) Centro Nacional de Seguridad Digital.

c) Redes de confianza en Seguridad Digital.

d) Oficial de Seguridad Digital.

e) Sistemas de Gestión de Seguridad de la Información.

f) Ciudadano o persona en general.

g) Autoridad Nacional de Protección de Datos Personales.

Artículo 97. Articulación normativa en materia de Seguridad Digital

Las políticas, lineamientos, directrices y planes en los ámbitos de defensa, inteligencia, justicia e institucional previstos en el artículo 32 de la Ley, se articulan con las políticas, estrategias y planes en materia de Seguridad Digital del Estado Peruano que establezca la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

CAPÍTULO II.- GESTIÓN DEL MARCO DE SEGURIDAD DIGITAL DEL ESTADO PERUANO

Artículo 98. Ámbito de Defensa

98.1 La ciberdefensa es gestionada por el Ministerio de Defensa, quien articula con sus órganos ejecutores el planeamiento y conducción de operaciones militares en y mediante el ciberespacio conforme los objetivos y lineamientos de la Política de Seguridad y Defensa Nacional aprobados por el Consejo de Seguridad y Defensa Nacional (COSEDENA) y de manera articulada con los objetivos de seguridad digital.

98.2 El Comando Conjunto de las Fuerzas Armadas está a cargo de la ciberdefensa de los activos críticos nacionales y recursos claves, cuando la capacidad de protección de sus operadores y/o sector responsable de cada uno de ellos o de la Dirección Nacional de Inteligencia o quien haga sus veces, sean sobrepasadas, y se vea afectada la seguridad nacional.

98.3 La Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo de Seguridad y Defensa Nacional, establece los protocolos de escalamiento, coordinación, intercambio y activación para lo indicado en la Ley nº 30999, Ley de Ciberdefensa. Esta función se ejerce a través de la Secretaría de Gobierno Digital en su calidad de ente rector del Sistema Nacional de Transformación Digital y de seguridad y confianza digital en el país, quien emite los lineamientos y las directivas correspondientes.

Artículo 99. Ámbito de Inteligencia

La inteligencia y contrainteligencia en este ámbito es gestionada, en el marco de sus competencias, por la Dirección Nacional de Inteligencia (DINI), quien articula con la Secretaría de Gobierno Digital Presidencia del Consejo de Ministros y los órganos competentes, el planeamiento y conducción de operaciones de inteligencia para asegurar los activos críticos nacionales.

Artículo 100. Ámbito de Justicia

100.1 Las acciones para garantizar la lucha eficaz contra la ciberdelincuencia es dirigida por el Ministerio del Interior (MININTER) y la Policía Nacional del Perú (PNP), quienes articulan con el Ministerio de Justicia y Derechos Humanos (MINJUSDH), el Instituto Nacional Penitenciario (INPE), el Ministerio Público – Fiscalía de la Nación, el Tribunal Constitucional, Academia de la Magistratura, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros y el Poder Judicial (PJ), conforme a lo dispuesto en la Ley nº 30096, Ley de Delitos Informáticos, y los convenios aprobados y ratificados por el Estado Peruano en esta materia.

100.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú y el Ministerio Público – Fiscalía de la Nación proponen los protocolos de colaboración y comunicación para el reporte de casos de violencia sexual contra niños, niñas y adolescentes en el entorno digital, la cual se hace efectiva mediante Resolución de la Secretaría de Gobierno Digital.

Artículo 101. Ámbito Institucional

El ámbito institucional es dirigido, evaluado y supervisado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien articula con las entidades de la Administración Pública la implementación de las normas, directivas y estándares de Seguridad Digital, Ciberseguridad y Seguridad de la Información, y supervisa su cumplimiento.

Artículo 102. Articulación de ámbitos

La Secretaría de Gobierno Digital dirige y articula acciones para la gestión de incidentes y riesgos de seguridad digital que afecten a la sociedad con los responsables de los ámbitos de Defensa, Inteligencia y Justicia, conforme lo establece el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y su Reglamento.

Artículo 103. Adopción de estándares y buenas prácticas

Las entidades de la Administración Pública pueden adoptar normas técnicas peruanas o normas y/o estándares técnicos internacionales ampliamente reconocidos en materia de gestión de riesgos, gestión de incidentes, seguridad digital, ciberseguridad y seguridad de la información en ausencia de normas o especificaciones técnicas nacionales vigentes.

CAPÍTULO III.- EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL

Artículo 104. Equipo de Respuestas ante Incidentes de Seguridad Digital

104.1 Un Equipo de Respuestas ante Incidentes de Seguridad Digital es aquel equipo responsable de la gestión de incidentes de seguridad digital que afectan los activos de una entidad pública o una red de confianza. Su implementación y conformación se realiza en base a las disposiciones que determine la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

104.2 Las entidades de la Administración pública conforman un Equipo de Respuestas ante Incidentes de Seguridad Digital de carácter institucional. Dichos Equipos forman parte de los órganos o unidades orgánicas de Tecnologías de la Información de la entidad o de la unidad de organización especializada en seguridad de la información o similar prevista en su estructura orgánica o funcional. Su conformación es comunicada a la Secretaría de Gobierno Digital mediante los mecanismos dispuestos para tal fin.

104.3 La Secretaría de Gobierno Digital, en su calidad de ente rector de la seguridad digital en el país, emite opinión técnica especializada a pedido de una entidad a fin de revisar o validar aspectos técnicos sobre la conformación de un Equipo de Respuesta ante incidentes de Seguridad Digital, conforme a lo establecido en el presente Reglamento y normas complementarias.

104.4 La red de confianza es el conjunto de entidades públicas e interesados que articulan acciones para el intercambio de información sobre incidentes de seguridad digital, vulnerabilidades, amenazas, medidas de mitigación, herramientas, mejores prácticas o similares en materia de seguridad digital. Se conforman en función de un sector, territorio o para atender un objetivo específico.

104.5 Las entidades públicas pueden conformar una red de confianza en base a las disposiciones establecidas por la Secretaría de Gobierno Digital. Asimismo, la Secretaría de Gobierno Digital en función de los objetivos nacionales, políticas de estado o aspectos estratégicos promueve la conformación de redes de confianza.

Artículo 105. Obligaciones de las entidades en Seguridad Digital

Las entidades públicas tienen, como mínimo, las siguientes obligaciones:

a) Implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).

b) Comunicar al Centro Nacional de Seguridad Digital los incidentes de seguridad digital atendiendo lo establecido en el artículo 107 del presente Reglamento.

c) Adoptar medidas para la gestión de riesgos e incidentes de seguridad digital que afecten a los activos de la entidad.

d) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de seguridad digital en su entidad y red de confianza.

e) Asegurar acciones de investigación y cooperación efectiva, eficiente y segura con el Centro Nacional de Seguridad Digital.

f) Proveer los recursos y medidas necesarias para asegurar la efectiva gestión de incidentes de seguridad digital.

g) Requerir a sus proveedores de desarrollo de software el cumplimiento de estándares, normas técnicas y mejores prácticas de seguridad ampliamente reconocidos.

Artículo 106. Criterios para determinar el impacto significativo de un incidente

Para determinar el impacto significativo de un incidente de seguridad digital se consideran, como mínimo, los siguientes criterios:

a) Perjuicio a la reputación.

b) Pérdida u obligación financiera.

c) Interrupción de las operaciones, procesos o actividades de la entidad.

d) Divulgación no autorizada de datos personales o información reservada, secreta o confidencial.

e) Daños personales (físico, psicológico o emocional).

Artículo 107. Comunicación de un incidente

La comunicación de un incidente de seguridad digital se realiza conforme a lo establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, su Reglamento y normas complementarias.

Artículo 108. Incidentes de Seguridad Digital relativos a Datos Personales

Las entidades públicas comunican y colaboran con la Autoridad Nacional de Protección de Datos Personales ante la identificación de incidentes de seguridad digital que hayan afectado los datos personales, comunicándose en un plazo máximo de 48 horas, a partir de la toma de conocimiento de la brecha de seguridad.

CAPÍTULO IV.- SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Artículo 109. Sistema de Gestión de Seguridad de la Información

109.1 El Sistema de Gestión de Seguridad de la Información (SGSI) comprende el conjunto de políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona una entidad con el propósito de proteger sus activos de información, de manera independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión de riesgos e incidentes de seguridad de la información y seguridad digital, la implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y cooperación.

109.2 El diseño, implementación, operación y mejora del SGSI atiende a las necesidades de todas las partes interesadas de la entidad; asimismo, responde a los objetivos estratégicos, estructura, tamaño, procesos y servicios de la entidad. El SGSI comprende al Equipo de Respuesta ante Incidentes de Seguridad Digital.

109.3 Las entidades de la Administración Pública implementan un SGSI en su institución, teniendo como alcance mínimo sus procesos misionales y aquellos que son relevantes para su operación.

109.4 Se gestiona la implementación de controles y medidas de seguridad a nivel organizacional, técnico y legal, basadas en riesgos, a fin de garantizar la disponibilidad, integridad y confidencialidad de los datos personales que sean tratados, procesados, almacenados y compartidos a una entidad, así como en cualquier otra forma de actividad que facilite el acceso o intercambio de datos.

Artículo 110. Gestión de Riesgos de Seguridad Digital

Las entidades de la Administración Pública gestionan sus riesgos de seguridad digital, conforme a lo establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y sus normas reglamentarias.

Artículo 111. Roles para la Seguridad de la Información

111.1 El titular de la entidad es responsable de la implementación del SGSI.

111.2 El Comité de Gobierno Digital es responsable de dirigir, mantener y supervisar el SGSI de la entidad.

111.3 El Oficial de Seguridad Digital es el rol responsable de coordinar la implementación y mantenimiento del SGSI en la entidad, atendiendo las normas en materia de seguridad digital, confianza digital y gobierno digital. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil del Oficial de Seguridad Digital en la Administración Pública.

Artículo 112. Deberes y obligaciones del personal de la entidad

112.1 Las entidades públicas capacitan e informan a su personal sobre sus deberes y obligaciones en materia de seguridad de la información y seguridad digital, siendo estos últimos responsables de su aplicación en el ejercicio de sus funciones y actividades. Asimismo, las entidades fortalecen las competencias de su personal en el uso adecuado, eficiente y seguro de las tecnologías digitales, para lo cual pueden solicitar el soporte de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

112.2 El personal de la entidad que accede a datos e información a través de aplicativos informáticos, sistemas de información o herramientas informáticas usa credenciales que permitan determinar: su identidad en un ámbito determinado, los tipos de derecho o privilegio de uso y accesos asignados, las actividades realizadas, a fin de establecer responsabilidades cuando corresponda.

Artículo 113. Auditorías de Seguridad de la Información

113.1 Las entidades públicas de manera permanente realizan como mínimo una auditoría externa anual a su SGSI. Los resultados de las auditorías constan como información documentada por la entidad.

113.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, solicita a las entidades públicas informes de las auditorías realizadas o sobre la aplicación efectiva de las normas en materia de seguridad de la información o seguridad digital, en el marco de sus funciones de supervisión o cuando lo considere necesario para prevenir o resolver incidentes de seguridad digital.

Artículo 114. Seguridad de los servicios digitales

Los servicios digitales se implementan considerando los controles y medidas de seguridad de la información que permitan garantizar su disponibilidad, integridad y confidencialidad, así como atendiendo las disposiciones establecidas en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y sus normas reglamentarias.

Artículo 115. Pruebas para evaluar vulnerabilidades

115.1 Las entidades públicas planifican y realizan pruebas para evaluar vulnerabilidades a los siguientes activos: aplicativos informáticos, sistemas, infraestructura, datos y redes, que soportan los servicios digitales, procesos misionales o relevantes de la entidad. La ejecución de dichas pruebas se realiza, como mínimo, una vez al año. El Centro Nacional de Seguridad Digital solicita a la entidad información sobre las pruebas realizadas o coordina con ella la realización de dichas pruebas.

115.2 Los resultados de las pruebas realizadas constan como información documentada por la entidad. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, solicita dichos resultados en el marco de sus funciones de supervisión o cuando lo considere necesario para la gestión de un incidente de seguridad digital.

TITULO VIII.- ARQUITECTURA DIGITAL

CAPÍTULO I.- MARCO DE LA ARQUITECTURA DIGITAL DEL ESTADO

Artículo 116. Marco de la Arquitectura Digital del Estado Peruano

116.1 El Marco de la Arquitectura Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en arquitectura digital, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública que aseguren el alineamiento entre los objetivos estratégicos nacionales e institucionales con el uso optimizado de las tecnologías digitales.

116.2 El alineamiento comprende las inversiones en tecnologías de la información, activos de tecnologías de la información, datos y seguridad digital, para optimizar el uso de recursos y prestación de servicios digitales en el Estado.

116.3 El Marco de la Arquitectura Digital del Estado Peruano comprende las siguientes perspectivas: desempeño, organizacional, datos, aplicaciones, tecnológico y seguridad.

Artículo 117. Principios del Marco de la Arquitectura Digital del Estado Peruano

La aplicación del Marco de la Arquitectura Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Neutralidad tecnológica: En la evaluación, adopción o adquisición de tecnología prima la neutralidad, no debiendo orientarse o limitarse a un determinado tipo de tecnología.

b) Valor ganado: Las inversiones en tecnologías de la información generan valor para la entidad mediante la eficiencia en sus procesos, optimización de costos, riesgos y beneficios cuantificables.

c) Reusabilidad: Se promueve la reutilización de componentes, datos, información, activos de tecnologías de la información y soluciones tecnológicas en la entidad.

d) Automatización: Se facilita la automatización de los procesos permitiendo lograr un alto rendimiento, modelando cada uno de ellos hasta elevarlos a un nivel óptimo de calidad.

e) Seguridad de la información: Permite la definición, implementación y la gestión adecuada de la confidencialidad, integridad y disponibilidad de los activos de información independientemente del soporte que los contenga.

Artículo 118. Modelos de referencia de la Arquitectura Digital

118.1 Los modelos de referencia de la Arquitectura Digital permiten un análisis integral de la entidad, desde diferentes perspectivas, para identificar necesidades, problemas y brechas asociadas con los procesos, servicios, sistemas de información, infraestructura tecnológica, gestión de datos y seguridad digital, así como identificar oportunidades de mejora para satisfacer las necesidades de información de la entidad y ciudadano, en el tiempo presente, inmediato y futuro.

118.2 Los modelos de referencia de la Arquitectura Digital son:

a) Modelo de referencia de Desempeño: Permite describir los mecanismos e indicadores utilizados para alinear, evaluar y medir las inversiones en tecnologías de la información, proyectos y servicios de gobierno digital; conforme a los objetivos institucionales y objetivos estratégicos de desarrollo nacional.

b) Modelo de referencia Organizacional: Permite analizar la visión, misión, objetivos estratégicos, estructura, funciones, servicios y procesos establecidos en los instrumentos de gestión y documentos de gestión organizacional de la entidad y el nivel de alineamiento con las disposiciones de gobierno digital, donde se plasma el presente, lo inmediato y el futuro organizacional.

c) Modelo de referencia de Aplicaciones: Permite describir las aplicaciones y sistemas de información que brindan soporte a las funciones, procesos y servicios de la entidad, las cuales se pueden compartir o reutilizar.

d) Modelo de referencia de Datos: Permite describir los datos, su estructura y significado en el contexto de la entidad, para facilitar su descripción, clasificación, calidad, apertura, acceso, reutilización y gestión en general.

e) Modelo de referencia Tecnológico: Permite describir los activos de tecnologías de la información necesarios para gestionar los datos e información y, brindar soporte a las aplicaciones y sistemas de información en la entidad.

f) Modelo de referencia de Seguridad: Permite describir las medidas de seguridad de información en la entidad, para garantizar la confidencialidad, disponibilidad e integridad de sus activos de información, así como fortalecer la confianza en los servicios digitales.

118.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las normas, guías, directivas y lineamientos para la aplicación de los Modelos de referencia de desempeño, organizacional, aplicaciones, datos, tecnológico y seguridad.

118.4 Los modelos de referencia de la Arquitectura Digital pueden ser utilizados para analizar y alinear los sistemas de información, datos, seguridad e infraestructura tecnológica con los objetivos estratégicos institucionales, regionales, sectoriales, o de un sistema funcional o administrativo, con perspectiva futura.

Artículo 119. Plataforma Nacional de Gobierno Digital

119.1 Créase la Plataforma Nacional de Gobierno Digital la cual comprende el conjunto de componentes tecnológicos, lineamientos y estándares para facilitar e impulsar la digitalización de servicios y procesos en las entidades de la Administración pública, promoviendo su colaboración, integración, un uso eficiente de los recursos y el alineamiento con los objetivos estratégicos nacionales.

119.2 La Plataforma Nacional de Gobierno Digital es dirigida, supervisada y evaluada por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

119.3 La referida plataforma comprende, de manera no limitativa, a los bloques básicos de interoperabilidad técnica, la Plataforma GOB.PE, plataforma de Información de la Arquitectura Digital del Estado, Inventario de Activos Digitales del Estado Peruano, así como aquellos recursos, herramientas, instrumentos o servicios digitales a cargo de la Secretaría de Gobierno Digital que faciliten la transformación digital del Estado.

119.4 La Secretaría de Gobierno Digital es la responsable de gestionar los requerimientos de las entidades de la Administración pública sobre el uso de los componentes de la Plataforma Nacional de Gobierno Digital, que incluyen la recepción, habilitación, deshabilitación, renovación u otras acciones necesarias.

Artículo 120. Plataforma Nacional de Gobierno de Datos

120.1 Créase la Plataforma Nacional de Gobierno de Datos (DATOS PERÚ) la cual comprende, de manera no limitativa, la Plataforma Nacional de Datos Abiertos, la Plataforma GEOPERU y las fuentes disponibles en datos espaciales o georreferenciados. Asimismo, implementa tecnologías digitales para la analítica de grandes volúmenes de datos, inteligencia artificial u otras tecnologías emergentes a fin de facilitar la disponibilidad de tableros de gestión y toma de decisiones e intervenciones estratégicas en la Administración Pública.

120.2 La Plataforma Nacional de Gobierno de Datos es administrada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, que promueve su uso eficiente para el logro de los objetivos estratégicos nacionales, cuyo dominio en Internet es www.datos.gob.pe.

Artículo 121. Roles y Plataforma de Información de la Arquitectura Digital del Estado

121.1 El Comité de Gobierno Digital es el responsable del uso de los modelos de referencia de la arquitectura digital en su entidad y, la actualización de la información en la Plataforma de Información de la Arquitectura Digital del Estado.

121.2 El titular de la entidad en función de sus capacidades, presupuesto y recursos puede designar un Arquitecto Digital como rol responsable de coordinar el uso y documentación de los modelos de referencia de la Arquitectura Digital. Dicha designación se hace de conocimiento a la Secretaría de Gobierno Digital para las coordinaciones y acciones correspondientes.

121.3 Créase la Plataforma de Información de la Arquitectura Digital del Estado como la plataforma que permite:

(i) automatizar la gestión de la arquitectura digital del Estado Peruano,

(ii) almacenar datos para la gestión y evaluación de los proyectos de gobierno digital, y

(iii) proporcionar información para la mejora continua de la arquitectura digital del Estado.

Es administrada por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, cuyo dominio en internet es www.arquitecturadigital.gob.pe.

121.4 La Plataforma de Información de la Arquitectura Digital del Estado contiene información de las entidades, como mínimo, sobre:

a) Visión, misión y objetivos estratégicos.

b) Procesos de la entidad.

c) Proyectos de TI o tecnologías digitales.

d) Aplicaciones, sistemas de información y activos de tecnologías de la información.

e) Inversiones en tecnologías de la información.

f) Información sobre el personal de tecnologías de la información.

121.5 Las entidades de la Administración Pública registran y/o validan la información descrita en el numeral precedente en la Plataforma de Información de la Arquitectura Digital del Estado, para ello toma como referencia la información de su Plan de Gobierno Digital aprobado e instrumentos de gestión institucional.

121.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, realiza anualmente la Encuesta Nacional de Activos Digitales del Estado para elaborar y mantener el Inventario de Activos Digitales del Estado Peruano, en concordancia con lo dispuesto en la Ley, el presente Reglamento y las normas en materia de gobierno digital.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera. Normas complementarias

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros dicta las normas complementarias para la implementación del presente Reglamento.

Segunda. Implementación de la Plataforma ID GOB.PE

La implementación de la plataforma ID GOB.PE se realiza en tres (03) fases:

a) Fase 1: la implementación del servicio de autenticación para peruanos se encuentra a cargo del RENIEC, y se realiza en los siguientes plazos:

i) Con nivel 1 de confianza en la autenticación, en un plazo no mayor a noventa (90) días calendario, contados a partir de la publicación del presente Reglamento.

ii) Con nivel 2 de confianza en la autenticación, en un plazo no mayor a seis (06) meses, contados a partir de la publicación del presente Reglamento.

iii) Con nivel 3 de confianza en la autenticación, en un plazo no mayor a nueve (09) meses, contados a partir de la publicación del presente Reglamento.

b) Fase 2: la implementación del servicio de autenticación para extranjeros, con al menos un nivel de seguridad, se realiza en un plazo no mayor a doce (12) meses, contados a partir de la publicación del presente Reglamento, a cargo de MIGRACIONES.

c) Fase 3: la implementación del servicio de autenticación para personas naturales, con al menos un nivel de seguridad, se realiza en un plazo no mayor a seis (06) meses, contados a partir de la publicación del presente Reglamento, a cargo de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a noventa (90) días hábiles contados a partir de la publicación del presente Reglamento, mediante Resolución Secretarial, emite las normas, condiciones de uso y protocolos de integración de la Plataforma ID GOB.PE. Así como, las normas y disposiciones con respecto a la adopción de la Plataforma ID GOB.PE por parte de las entidades de la Administración Pública.

El Ministerio de Relaciones Exteriores en un plazo no mayor a noventa (90) días hábiles, contados a partir de la publicación del presente Reglamento, publica en la Plataforma de Interoperabilidad del Estado los servicios de información de los atributos de identidad de un extranjero contenidos en el Carné de Identidad y/o Carné de Solicitante de Refugio para el consumo exclusivo de la Superintendencia Nacional de Migraciones, así como de otras entidades autorizadas expresamente por Relaciones Exteriores. Hasta la publicación de los referidos servicios de información el Ministerio de Relaciones Exteriores remite los atributos de identidad correspondientes a la Superintendencia Nacional de Migraciones, a través de los mecanismos que acuerden y establezcan para dicho fin, para su inscripción en el Registro de Información de Migraciones (RIM).

Tercera. Adecuación de la Plataforma Digital GOB.PE

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a ciento ochenta (180) días calendario, contados a partir de la publicación del presente Reglamento, realiza progresivamente las adecuaciones necesarias a la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano – GOB.PE, en base a la estructura funcional establecida en el artículo 31 y demás disposiciones del presente Reglamento.

Las entidades públicas en un plazo no mayor a noventa (90) días calendario, contados a partir de la publicación del presente Reglamento, proporcionan los servicios de información que defina la Secretaría de Gobierno Digital para las adecuaciones de la Plataforma GOB.PE

Cuarta. Integración de la Plataforma GOB.PE y la Plataforma ID GOB.PE

En un plazo no mayor de noventa (90) días hábiles, contados a partir de la publicación del presente Reglamento, la Plataforma GOB.PE se integra con la Plataforma ID GOB.PE para verificar la identidad de las personas que requieren acceder y utilizar los servicios digitales prestados a través de la Plataforma GOB.PE, así como acceder a un entorno personalizado conforme a los literales f) y g) del numeral 31.1 del artículo 31 del presente Reglamento.

Quinta. Aplicativos Móviles del Estado Peruano

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite los lineamientos y directivas para el diseño, construcción y registro de aplicativos móviles en el Catálogo Oficial de Aplicativos Móviles en un periodo no mayor a ciento ochenta (180) días hábiles, contados a partir de la publicación del presente Reglamento.

En un plazo no mayor a dos (02) años posterior a la emisión de los referidos lineamientos, las entidades que cuenten con aplicativos móviles existentes a la entrada en vigencia de la presente norma realizan las adecuaciones que correspondan y solicitan su registro en el Catálogo Oficial de Aplicativos Móviles.

Sexta. Registro de aplicativos móviles en las tiendas de distribución

A partir del 01 de julio del 2021 el registro de aplicaciones móviles de las entidades públicas en tiendas de distribución se realiza únicamente a través del Catálogo Oficial de Aplicativos Móviles del Estado Peruano, bajo la cuenta oficial GOB.PE.

Séptima. Normas para procesos técnicos archivísticos en soporte digital

El Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, dictan las normas para los procesos técnicos archivísticos en soporte digital, en un plazo no mayor a ciento ochenta (180) días hábiles contados a partir de a la publicación del presente Reglamento.

Las referidas normas serán aplicables a los documentos electrónicos que se hayan generado a la entrada en vigencia del presente Reglamento.

Octava. Implementación de la Plataforma Única de Recepción Documental del Estado Peruano

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, implementa la Plataforma Única de Recepción Documental del Estado Peruano y establece los lineamientos y requisitos de integración.

Novena. Plazos para la integración con la Plataforma Única de Recepción Documental del Estado Peruano

Las entidades de la Administración Pública, posterior a la implementación de la Plataforma Única de Recepción Documental del Estado Peruano se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta seis (06) meses.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma Única de Recepción Documental del Estado Peruano.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima. Plazos para la integración de servicios digitales con las plataformas PIDE, ID GOB.PE y PSPP

Las entidades de la Administración Pública integran sus servicios digitales con las plataformas PIDE, ID GOB.PE y PSPP en lo que corresponda, conforme a los siguientes plazos:

a) Poder Ejecutivo hasta un (01) año, contado desde la publicación del presente Reglamento.

b) Organismos Constitucionales Autónomos hasta un (01) año, contado desde la publicación del presente Reglamento.

c) Gobiernos regionales y universidades públicas hasta dieciocho (18) meses, contado desde la publicación del presente Reglamento.

d) Gobiernos locales Tipo A, Tipo B y Tipo C hasta dieciocho (18) meses, contado desde la publicación del presente Reglamento.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus servicios digitales con las Plataformas PIDE, ID GOB.PE y PSPP.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Primera. Lineamientos e implementación de la Plataforma Casilla Única Electrónica del Estado Peruano

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, implementa la Plataforma Casilla Única Electrónica del Estado Peruano, en las siguientes fases y plazos:

a) Fase 1: Dirección electrónica y buzón de comunicaciones, conforme a:

i) Personas naturales peruanas en un plazo no mayor a seis (06) meses, posterior a la implementación de la fase 1 a la que se refiere la Segunda Disposición Complementaria Final del presente Reglamento.

ii) Personas naturales extranjeras en un plazo no mayor a seis (06) meses, posterior a la implementación de la fase 2 a la que se refiere la Segunda Disposición Complementaria Final del presente Reglamento.

iii) Personas jurídicas en un plazo no mayor a doce (12) meses, posterior a la implementación del servicio de información al que se refiere la Cuadragésima Sexta Disposición Complementaria Final del presente Reglamento.

b) Fase 2: Buzón de notificaciones, conforme a:

i) Personas naturales peruanos en un plazo no mayor a doce (12) meses, posterior a la culminación de la Fase 1.

ii) Personas naturales extranjeras en un plazo no mayor a doce (12) meses, posterior a la culminación de la Fase 1.

iii) Personas jurídicas en un plazo no mayor a dieciocho (18) meses, posterior a la culminación de la Fase 1.

Asimismo, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros mediante Resolución de Secretaría de Gobierno Digital, en un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, establece las condiciones, requisitos, uso y gestión de la casilla única electrónica, así como las normas para la adopción e integración de la Plataforma Casilla Única Electrónica por parte de las entidades públicas.

Hasta la culminación de la implementación de la Plataforma Casilla Única Electrónica del Estado Peruano las notificaciones se realizan conforme a lo previsto en el artículo 20 del TUO de la Ley nº 27444.

Décima Segunda. Plazos para la integración de la Plataforma Casilla Única Electrónica del Estado Peruano

Las entidades de la Administración Pública, posterior a la implementación de la Plataforma Casilla Única Electrónica del Estado Peruano, se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma Casilla Única Electrónica del Estado Peruano.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Tercera. Gestión de la entidad de certificación nacional del Estado peruano y Directiva de la Plataforma Nacional de Firma Digital

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, el Registro Nacional de Identificación y Estado Civil (RENIEC) transfiere el acervo documentario, activos físicos, activos lógicos, así como todo aquello que se requiera para la adecuada transferencia de la Entidad de Certificación Nacional para el Estado Peruano a la Presidencia del Consejo de Ministros. La PCM incorpora en sus documentos de gestión los objetivos, acciones y actividades necesarias para la implementación de la presente disposición.

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas sobre el uso de la firma digital por parte de las entidades de la Administración Pública, así como la directiva sobre la Plataforma Nacional de Firma Digital.

El RENIEC, en un plazo no mayor a treinta (30) días calendario contados a partir de la publicación del presente Reglamento, pone a disposición de la Presidencia del Consejo de Ministros el software acreditado de validación y generación de firmas digitales de su titularidad, incluyendo como mínimo los ejecutables, los identificadores, la documentación asociada, y todo aquello que sea necesario para iniciar la implementación de la Plataforma FIRMA PERÚ, de conformidad con lo previsto en la Ley y el presente Reglamento.

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros solicita a cualquier entidad de la Administración Pública la entrega del software acreditado de validación y generación de firmas digitales de su titularidad, incluyendo como mínimo los ejecutables, los identificadores, la documentación asociada a fin de dar cumplimiento a lo dispuesto en el presente Reglamento.

Décima Cuarta. Plazos para la integración de la plataforma FIRMA PERÚ

La Secretaría de Gobierno Digital en un plazo no mayor a dos (02) meses, contados a partir de la información entregada por el RENIEC a la que se refiere la Décima Tercera Disposición Complementaria Final, implementa la Plataforma FIRMA PERÚ.

Las entidades de la Administración Pública, posterior a la emisión de la directiva de la Plataforma FIRMA PERÚ, se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma FIRMA PERÚ.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Quinta. Registro de tasas en la plataforma PÁGALO.PE

Las entidades de la Administración Pública registran todas las tasas y los pagos por derechos de tramitación de sus servicios y trámites en la plataforma PÁGALO.PE; los cuales deben encontrarse en sus instrumentos de gestión vigente. Los plazos para el registro, a partir de la publicación del presente Reglamento, son:

a) Poder Ejecutivo hasta un (01) año.

b) Organismos Constitucionales Autónomos hasta un (01) año.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dos (02) años.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

La aplicación de la presente disposición corresponde a las entidades públicas que efectúan la recaudación de sus ingresos a través del Banco de la Nación, sin perjuicio de lo indicado en el numeral 89.6 del artículo 89 del presente Reglamento.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de registro en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Sexta. Ampliación de la plataforma PÁGALO.PE

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, el Banco de la Nación implementa el mecanismo necesario que permite la integración directa de la plataforma PÁGALO.PE con los servicios digitales prestados por las entidades públicas para el pago en línea de sus derechos de tramitación de forma automática y en tiempo real.

Décima Séptima. Integración de los servicios digitales con la plataforma PÁGALO.PE

Las entidades de la Administración Pública, posterior a la implementación del mecanismo al que hace referencia la Décima Sexta Disposición Complementaria Final, integran sus servicios digitales con la plataforma PÁGALO.PE para el pago en línea de sus derechos de tramitación de forma automática y en tiempo real, teniendo en consideración las disposiciones establecidas por el Banco de la Nación, y en los siguientes plazos:

a) Poder Ejecutivo, Organismos Constitucionales Autónomos hasta seis (06) meses.

b) Gobiernos regionales y universidades públicas hasta un (01) año.

c) Gobiernos locales Tipo A y Tipo C hasta dieciocho (18) meses.

d) Gobiernos locales Tipo B hasta dos (02) años.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Las demás entidades públicas en función de sus capacidades y recursos pueden integrarse con la referida plataforma PÁGALO.PE, sin perjuicio de lo indicado en el numeral 89.6 del artículo 89 del presente Reglamento.

La aplicación de la presente disposición corresponde a las entidades públicas que efectúan la recaudación de sus ingresos a través del Banco de la Nación.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Octava. Infraestructura tecnológica y plataforma tecnológica como servicio para gobiernos locales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un periodo no mayor a un (01) año, posterior a la publicación del presente Reglamento, implementa lo dispuesto en el numeral 92.5 del artículo 92 del presente Reglamento.

Décima Novena. Vocabularios básicos para la interoperabilidad

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con el Registro Nacional de Identificación y Estado Civil, la Superintendencia Nacional de Migraciones, la Superintendencia Nacional de Registros Públicos, Superintendencia Nacional de Aduana y Administración Tributaria y el Instituto Nacional de Estadística e Informática, en un periodo no mayor a un (01) año, posterior a la publicación del presente Reglamento, elaboran los vocabularios básicos de los datos maestros para la interoperabilidad.

Vigésima. Gestión de Identificadores de Objetos

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la entidad responsable de la gestión y asignación de identificadores de objetos (OID) para el ámbito nacional, bajo la rama {joint-iso-itu-t(2) country(16) pe(604)}, y realiza las acciones necesarias para su implementación. Asimismo, coordina con el Instituto Nacional de la Calidad (INACAL) y el Ministerio de Transportes y Comunicaciones (MTC), la comunicación a la Organización Internacional de Estandarización (ISO) y a la Unión Internacional de Telecomunicaciones (UIT) para el reconocimiento correspondiente, en un plazo no mayor a tres (03) meses posteriores a la publicación del presente Reglamento.

Vigésima Primera. Portal de Software Público Peruano, Portal Nacional de Datos Abiertos, Oficial de Seguridad de la Información, ID PERÚ y Encuesta Nacional de Recursos Informáticos de la Administración Pública

Para todo efecto la mención al Portal de Software Público Peruano, Portal Nacional de Datos Abiertos, Oficial de Seguridad de la Información, ID PERÚ y Encuesta Nacional de Recursos Informáticos de la Administración Pública que se efectúe en cualquier disposición, norma o documento de gestión debe entenderse a la Plataforma Nacional de Software Público Peruano, Plataforma Nacional de Datos Abiertos, Oficial de Seguridad Digital, ID GOB.PE y Encuesta Nacional de Activos Digitales del Estado respectivamente.

Vigésima Segunda. Opiniones técnicas

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en un periodo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, aprueba la norma que contiene los procedimientos, criterios y requisitos para la emisión de la opinión técnica previa de los proyectos de tecnologías digitales de carácter transversal al que se refiere el artículo 5 de la presente norma. Asimismo, en los referidos lineamientos se establecerán los plazos para la emisión de la opinión técnica vinculante y opinión técnica especializada a los que se refieren los artículos 6 y 7 respectivamente del presente Reglamento.

El artículo 5 del presente Reglamento no será aplicable a los proyectos de tecnologías digitales de carácter transversal iniciados con anterioridad a la entrada en vigencia de esta norma, a los proyectos de inversión pública que se encuentren aprobados o en ejecución, así como a los proyectos de inversión privada desarrollados al amparo del Decreto Legislativo Nº 1362, Decreto Legislativo que regula la Promoción de la Inversión Privada mediante Asociaciones Público – Privadas y Proyectos en Activos. Asimismo, tampoco será aplicable a las ventanillas únicas digitales que se encuentren en operación o hayan sido creadas a la entrada en vigencia de esta norma.

Vigésima Tercera. Soluciones de firma digital adquiridas o desarrolladas

Aquellas entidades que hayan adquirido, desarrollado o reutilizado una solución de firma digital en el marco de la IOFE, con anterioridad a la publicación del presente reglamento, pueden integrarse con la plataforma FIRMA PERÚ.

Vigésima Cuarta. Prohibición de usar mecanismos alternativos a los bloques básicos para la interoperabilidad técnica

A partir del 01 de enero del 2022 las entidades públicas quedan prohibidas de adquirir, desarrollar o utilizar aplicativos, plataformas, recursos o servicios que posean las mismas funcionalidades provistas por los bloques básicos para la interoperabilidad técnica establecidos en el artículo 87 del presente Reglamento. El MINCETUR, en su calidad de administrador de la Ventanilla Única de Comercio Exterior, utiliza dicha plataforma e implementa progresivamente el uso de las plataformas ID GOB.PE, CASILLA ÚNICA PERÚ, MESA DIGITAL PERÚ y PAGALO.PE de acuerdo con sus estrategias y planes institucionales.

Asimismo, la SUNAT utiliza su sistema informático SUNAT Operaciones en Línea y la Clave SOL, e implementa progresivamente el uso de las plataformas ID GOB.PE, CASILLA ÚNICA PERÚ, MESA DIGITAL PERÚ, PAGALO.PE y FIRMA PERÚ de acuerdo con sus estrategias y planes institucionales.

La presente disposición no será aplicable a los proyectos de inversión pública que se encuentren aprobados o en ejecución a la entrada en vigencia de esta norma. Finalizado el proyecto de inversión pública las entidades responsables del mismo planifican su integración progresiva con los referidos bloques básicos para la interoperabilidad técnica, en lo que corresponda, en coordinación con la Secretaría de Gobierno Digital.

Vigésima Quinta. Mesa de partes digital institucional y Plataforma Única de Recepción Documental del Estado Peruano

Las mesas de partes digitales o similares puestas a disposición por las entidades públicas a través de sus sedes digitales coexisten con la Plataforma Única de Recepción Documental del Estado Peruano hasta la culminación del proceso de integración a la misma, conforme los plazos establecidos en la Novena Disposición Complementaria Final.

Vigésima Sexta. Estándares para datos y metadatos estadísticos

El Instituto Nacional de Estadística e Informática (INEI) es responsable de definir y establecer los formatos y estándares para el intercambio de datos y metadatos estadísticos en el Estado peruano.

Vigésima Séptima. Servicios de información espacial o georreferenciada

En un plazo no mayor a dieciocho (18) meses, posterior a la publicación del presente reglamento, las entidades del Poder Ejecutivo y gobiernos regionales implementan servicios de información espacial o georreferenciada correspondientes a los datos espaciales que producen en el marco de sus competencias. La información de dichos servicios se registra en el Catálogo Nacional de Metadatos Espaciales y publica en la Plataforma Digital GEOPERÚ.

Vigésima Octava. Implementación de la Plataforma Digital de Información de la Arquitectura Digital del Estado

En un plazo no mayor a nueve (09) meses, posterior a la publicación del presente reglamento, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros habilita la Plataforma Digital de Información de la Arquitectura Digital del Estado. La referida Plataforma Digital toma como base el desarrollo del aplicativo informático para el registro del Plan de Gobierno Digital.

Vigésima Novena. Modelos de Referencia de la Arquitectura Digital del Estado

En un plazo no mayor a doce (12) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba las Guías de los Modelos de Referencia de la Arquitectura Digital.

Trigésima. Aprobación de estándares y guías de acreditación para servicios de firma digital remota y servicios de preservación digital

En un plazo no mayor a ciento ochenta (180) días calendario, contados a partir de la publicación del presente Reglamento, la Autoridad Administrativa Competente de la IOFE aprueba los estándares técnicos relacionados con los servicios de firma digital remota y con los servicios de preservación digital; y, en un plazo no mayor a un (01) año aprueba las guías de acreditación correspondientes para aquellos Prestadores de Servicios de Certificación Digital que opten por brindar cada uno de los referidos servicios.

Trigésima Primera. Implementación del servicio de información de recursos humanos del sector público

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, el Ministerio de Economía y Finanzas (MEF) implementa y publica en la PIDE el servicio de información que retorna datos sobre los recursos humanos del sector público registrados en el “Aplicativo Informático para el Registro Centralizado de Planillas y de Datos de los Recursos Humanos del Sector Público” en situación activa o inactiva. El servicio de información provee, como mínimo, los siguientes datos por cada consulta:

a) Número de documento de identidad,

b) Nombres y apellidos,

c) Sector según corresponda,

d) Pliego según corresponda,

e) Entidad,

f) Cargo funcional,

g) Fecha de inicio, y,

h) Fecha de fin.

Trigésima Segunda. Reconocimiento transfronterizo de la identidad digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en coordinación con el Ministerio de Relaciones Exteriores, promueve la suscripción de acuerdos de cooperación para el reconocimiento transfronterizo de la identidad digital de los ciudadanos peruanos en el extranjero, prioritariamente con los países que conforman el Mercado Común del Sur (MERCOSUR), Comunidad Andina y la Alianza del Pacífico (AP).

Trigésima Tercera. Actualización de normas internas para el gobierno digital

Las entidades comprendidas en el alcance incorporan en sus Planes Operativos Institucionales, Planes Estratégicos Institucionales, Plan de Desarrollo de Personas, Plan Anual de Contrataciones y demás instrumentos los objetivos, acciones y actividades necesarias para la implementación del presente Reglamento.

Asimismo, dichas entidades, posterior a la publicación del presente Reglamento, realizan las modificaciones correspondientes en sus normas internas a fin de soportar el flujo documental digital en todos sus procesos, en los siguientes plazos:

a) Poder Ejecutivo hasta un (01) año.

b) Organismos Constitucionales Autónomos hasta un (01) año.

c) Gobiernos regionales hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Trigésima Cuarta. Planes de apertura de datos

Las entidades de la Administración Pública, posterior a la publicación del presente Reglamento, aprueban y publican planes de apertura de datos, en los siguientes plazos:

a) Poder Ejecutivo, Organismos Constitucionales Autónomos y empresas del Estado hasta seis (06) meses.

b) Gobiernos regionales, universidades públicas y gobiernos locales tipo A y C hasta un (01) año.

Los demás gobiernos locales proceden a la apertura de sus datos en función de sus capacidades y recursos.

Trigésima Quinta. Estrategia Nacional de Gobierno de Datos e Inteligencia Artificial, Estrategia Nacional de Seguridad y Confianza Digital y Estrategia Nacional de Talento e Innovación Digital

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba una Estrategia Nacional de Gobierno de Datos e Inteligencia Artificial, una Estrategia Nacional de Seguridad y Confianza Digital, y una Estrategia Nacional de Talento e Innovación Digital, en un plazo no mayor a ciento ochenta (180) días hábiles, posterior a la publicación del presente Reglamento, las cuales se actualizan cada dos (02) años, y se elaboran con la participación del sector público, la academia, sector privado y sociedad civil.

Trigésima Sexta. Apertura por defecto de datos económicos y de contrataciones

Los datos disponibles en el Portal de Transparencia Económica del Ministerio de Economía y Finanzas, así como los datos obtenidos a partir de información registrada en el Sistema Electrónico de Contrataciones del Estado (SEACE); se publica automáticamente y por defecto en la Plataforma Nacional de Datos Abiertos, en un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, con excepción de la información calificada como secreta, reservada o confidencial y los datos personales, en observancia de las normas legales vigentes.

Trigésima Séptima. Competencias y talento digital para el acceso y uso de servicios digitales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con los actores del Sistema Nacional de Transformación Digital promueven las acciones para el desarrollo del talento digital de los ciudadanos y personas en general, a fin de asegurar el ejercicio de ciudadanía digital, así como el desarrollo de competencias digitales para el acceso y uso a contenidos y servicios digitales provistos por el sector público y privado.

Trigésima Octava. Nombres de dominio de la Administración Pública

La estandarización y validación de los nombres de dominio de la Administración Pública y empresas públicas se encuentra a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien emite las normas correspondientes.

Trigésima Novena. Fiscalización y Supervisión

La Contraloría General de la República, a través de los órganos de control institucional de cada entidad de la Administración Pública, conforme a sus competencias, verifican de oficio que los funcionarios y servidores cumplan con implementar las disposiciones y plazos previstos en el presente Reglamento. Asimismo, corresponde a Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en el ejercicio de sus funciones de supervisión y fiscalización, realizar las gestiones conducentes para hacer efectiva la responsabilidad de los funcionarios en la implementación del presente Reglamento, para lo cual reporta a la Contraloría General de la República para las acciones correspondientes.

El incumplimiento de lo dispuesto en el presente Reglamento genera responsabilidad administrativa disciplinaria pasible de sanción en observancia a las normas del régimen disciplinario y procedimiento sancionador de la Ley nº 30057, Ley del Servicio Civil y su Reglamento General, aprobado por Decreto Supremo nº 040-2014-PCM. Corresponde a la máxima autoridad administrativa de cada entidad asegurar el cumplimiento de la presente disposición.

Cuadragésima. Interoperabilidad de las firmas electrónicas cualificadas

La Entidad de Certificación Nacional para el Estado Peruano, en un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, emite los lineamientos para la generación, uso, validación y verificación de las firmas electrónicas cualificadas para su interoperabilidad en el marco del modelo de gestión documental.

La interoperabilidad internacional a través de la VUCE para asuntos de comercio exterior se realiza conforme a los acuerdos o convenios internacionales suscritos por el Perú.

Cuadragésima Primera. Condiciones tecnológicas para gobiernos locales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, emite las disposiciones sobre las condiciones tecnológicas mínimas y plazos para la implementación del presente Reglamento por parte de los gobiernos locales. La presente disposición no se aplica a los gobiernos locales de Lima Metropolitana y Callao ni aquellos que son capitales de provincia.

La Secretaría de Gobierno Digital provee el soporte técnico y herramientas para la adopción de los bloques básicos para la interoperabilidad técnica por parte de las municipalidades pertenecientes a ciudades principales tipo F y G.

Cuadragésima Segunda. Aprobación de normas para el Documento Nacional de Identidad digital

El Registro Nacional de Identificación y Estado Civil, en un plazo no mayor a dos (02) años, posterior a la publicación del presente Reglamento, aprueba los requisitos, características, lineamientos y procedimientos del Documento Nacional de Identidad digital, la cual se hace efectiva mediante Resolución Jefatural.

Cuadragésima Tercera. Estándares, lineamientos y perfiles técnicos sobre el expediente electrónico

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil mínimo de metadatos del expediente electrónico, los lineamientos para su gestión y los estándares técnicos de su estructura.

Cuadragésima Cuarta. Normas para la determinación, adquisición y uso de NUBE PERÚ

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas para la determinación, adquisición y uso de infraestructuras tecnológicas y plataformas tecnológicas provistas en la modalidad de infraestructura y plataforma como servicio (NUBE PERÚ).

Cuadragésima Quinta. Uso de la Plataforma IDGOB PERÚ para el acceso a sistemas de información de las entidades públicas

La Plataforma ID GOB.PE es utilizada para proveer el acceso de funcionarios y servidores públicos a los sistemas de información de las entidades públicas accesibles desde Internet, para el ejercicio de sus funciones o actuaciones a su cargo. Asimismo, la referida plataforma es utilizada para proveer el acceso a los sistemas de información de usuarios autorizados o representantes legales de personas jurídicas que requieran interactuar con las entidades públicas.

La Plataforma ID GOB.PE sólo otorga garantía sobre la identificación de la persona natural, mas no sobre el cargo, rol, atribuciones o facultades que ostenta un funcionario o servidor de una entidad de la Administración Pública, o usuario autorizado o representante legal de una persona jurídica.

La entidad pública es responsable de gestionar las autorizaciones de acceso y asignación de roles, atribuciones o facultades en los referidos sistemas de información.

Cuadragésima Sexta. Implementación del servicio de información de representante legal

En un plazo no mayor a nueve (09) meses, posterior a la publicación del presente Reglamento, la Superintendencia Nacional de Registros Públicos (SUNARP) en coordinación con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, desarrolla, implementa y publica en la PIDE el servicio de información que retorna datos sobre los representantes legales de personas jurídicas inscritas. El servicio de información tiene como parámetros de entrada el número de documento de identidad, y provee, como mínimo, los siguientes datos por cada consulta: a) Denominación o razón social y b) Número de partida registral.

Hasta la implementación del servicio de información del representante legal de una persona jurídica, las entidades pueden utilizar el número del RUC otorgado por la SUNAT como identificador para la prestación de servicios digitales.

Cuadragésima Séptima. Código de Verificación Digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en un plazo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, emite las normas para la generación y uso del Código de Verificación Digital.

Cuadragésima Octava. Conformación de Equipos de Respuestas ante Incidentes de Seguridad Digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros en un plazo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, emite las normas para la implementación y conformación de Equipos de Respuestas ante Incidentes de Seguridad Digital y Redes de Confianza.

Las entidades de la Administración Pública, posterior a la publicación de las normas a las que se hace referencia en el párrafo precedente, conforman sus Equipos de Respuestas ante Incidentes de Seguridad Digital conforme a los siguientes plazos:

a) Poder Ejecutivo y Organismos Constitucionales Autónomos hasta seis (06) meses.

b) Gobiernos regionales y universidades públicas hasta un (01) año.

c) Gobiernos locales Tipo A y Tipo C hasta dieciocho (18) meses.

d) Gobiernos locales Tipo B hasta dos (02) años.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden conformar los referidos Equipos de Respuestas ante Incidentes de Seguridad Digital.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de conformación en función de las capacidades y recursos de las entidades, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Cuadragésima Novena. Interconexión de sistemas de trámite documentario o equivalentes

Las entidades de la Administración Pública, de conformidad con lo establecido en el artículo 8 del Decreto Legislativo nº 1310, Decreto Legislativo que aprueba medidas adicionales de Simplificación Administrativa, interconectan e integran sus sistemas de trámite documentario o equivalentes para el envío automático de documentos electrónicos con otras entidades, a través de la Plataforma de Interoperabilidad del Estado, en los siguientes plazos:

a) Organismos Constitucionales Autónomos, gobiernos regionales, universidades públicas, gobiernos locales Tipo A, Tipo B y Tipo C, y empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta el 31 de diciembre de 2021.

b) Gobiernos locales Tipo D, Tipo E, Tipo F y Tipo G hasta el 31 de julio de 2022.

Los gobiernos locales tipo D, E, F y G que no intervienen como administrados en un procedimiento administrativo pueden presentar documentos electrónicos vía plataformas de recepción documental, mesas de partes digital o similares aplicando las alternativas señaladas en el numeral 47.1 del artículo 47 del presente Reglamento, hasta la culminación de la interconexión de sus sistemas de trámite documentario a la que se refiere el párrafo precedente.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de implementación en función de las capacidades y recursos de las entidades, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Quincuagésima. Interoperabilidad a favor de los gobiernos regionales

Las entidades del Poder Ejecutivo a las que se refiere el artículo 1 del Decreto Supremo nº 002-2018-MINAGRI, Decreto Supremo que exonera del pago de tasas y cualquier otro derecho de trámite ante diversas entidades del Poder Ejecutivo a los Gobiernos Regionales en el ejercicio de la función descrita en el literal n) del artículo 51 de la Ley nº 27867, Ley Orgánica de Gobiernos Regionales, de manera progresiva y gratuita publican información en la Plataforma de Interoperabilidad del Estado para el consumo de los gobiernos regionales a cargo del ejercicio de la función descrita en el literal n) del artículo 51 de la Ley nº 27867, Ley Orgánica de Gobiernos Regionales.

Quincuagésima Primera. Aplicación normativa

Los procedimientos y servicios tramitados a través de la Ventanilla Única de Comercio Exterior (VUCE) se efectúan en concordancia con lo establecido en la Ley nº 30860, Ley de Fortalecimiento de la Ventanilla Única de Comercio Exterior y su Reglamento, siendo aplicable de manera supletoria lo dispuesto en el Capítulo I, II, III, V y VI del Título IV y Título II del presente Reglamento en lo que corresponda.

Los procedimientos, actos o actuaciones que se realizan en virtud de las competencias otorgadas por el Código Tributario, la Ley General de Aduanas y demás normas que atribuyen competencia a las Administraciones Tributarias, SUNAT y el Tribunal Fiscal, incluyendo aquellos casos en los que además se requiere la suscripción de un convenio interinstitucional conforme lo previsto en el tercer párrafo del artículo 5 de la Ley nº 29816, Ley de Fortalecimiento de la SUNAT o en una norma con rango de ley o decreto supremo que lo establezca, se regulan por sus normas especiales, siendo que, en lo no previsto en estas, resulta aplicable supletoriamente lo dispuesto en los Títulos II y IV del presente Reglamento en lo que corresponda. Sin perjuicio de ello las mencionadas entidades pueden optar voluntariamente por integrarse con la plataforma ID GOB.PE, CASILLA ÚNICA PERÚ y MESA DIGITAL PERÚ, para lo cual aprobarán las normas correspondientes.

La SUNAT puede utilizar en su relación con los administrados los sistemas, aplicaciones móviles y otros productos informáticos desarrollados en virtud de las facultades que le otorga la normativa que la regula, como es el caso del sistema informático SUNAT Operaciones en Línea y la Clave SOL, incluyendo la utilización de esta para generar la firma electrónica, asimismo, implementa progresivamente el uso de los bloques básicos de interoperabilidad técnica de acuerdo con sus estrategias y planes institucionales.

Sin perjuicio de lo indicado precedentemente tanto la VUCE como el sistema informático SUNAT Operaciones en Línea (SOL) interoperan progresivamente en lo que corresponda con los bloques básicos de interoperabilidad técnica.

La regulación y supervisión de los sistemas, productos y servicios supervisados por la Superintendencia de Banca, Seguros y AFP se rigen en virtud del principio de especialidad normativa por la Ley nº 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros.

Quincuagésima Segunda. Glosario de términos

Se incluye el Glosario de Términos para el adecuado entendimiento del presente Reglamento, conforme al Anexo adjunto a la presente norma.

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

Primera. Adecuación y registro en el Catálogo Oficial de Aplicativos Móviles

Las entidades de la Administración Pública que cuentan con aplicativos registrados en los repositorios de distribución de aplicativos móviles implementan las adecuaciones correspondientes y solicitan su registro en el Catálogo Oficial de Aplicativos Móviles en un periodo no mayor a dos (02) años, contado a partir de la emisión de los lineamientos a los que hace referencia la Quinta Disposición Complementaria Final.

Segunda. Obligatoriedad de la implementación de los servicios digitales

Las entidades comprendidas en el alcance incorporan anualmente en sus instrumentos de gestión, acciones o actividades para la implementación de servicios digitales no presenciales o semipresenciales conforme lo dispuesto en el presente Reglamento, salvo aquellas entidades que dispongan de todos sus procedimientos o servicios accesibles a través de canales digitales.

La implementación de la digitalización de procesos de comercio exterior se efectúa de manera progresiva en concordancia con lo señalado en el artículo 5 del Decreto Legislativo nº 1492, Decreto Legislativo que aprueba Disposiciones para la Reactivación, Continuidad y Eficiencia de las Operaciones vinculadas a la Cadena Logística de Comercio Exterior y su Reglamento.

Tercera. Mecanismos existentes de casilla electrónica

Las entidades públicas que hayan implementado algún mecanismo de notificación haciendo uso de tecnologías y medios electrónicos (casillas electrónicas, sistemas de notificación electrónica, buzones electrónicos o similares) se adaptan e integran de manera progresiva con la plataforma Casilla Única Perú, hasta el 31 de diciembre del 2022; sin perjuicio, de continuar con la utilización de los referidos mecanismos de notificación durante dicho período.

Las entidades a las que se hace referencia en el numeral 58.6 del presente Reglamento quedan exceptuadas de la presente disposición.

Cuarta. Reconocimiento de Prestadores de Servicios de Valor Añadido en la modalidad de sistema de creación de firma remota

Las empresas que cuenten con acreditación nacional o certificación internacional vigente como proveedores de servicios de creación de firma remota o equivalentes pueden prestar sus servicios a entidades públicas y privadas sin encontrarse acreditadas como tales ante la Autoridad Administrativa Competente (AAC), previo cumplimiento del procedimiento de reconocimiento que disponga la AAC, hasta por un plazo no mayor a dieciocho (18) meses, posterior a la publicación del presente Reglamento. Tales empresas ponen en conocimiento de la AAC, a través de sus representantes en el país, de ser el caso, sus operaciones en el ámbito nacional para su incorporación en el Registro Oficial de Prestadores de Servicios de Certificación Digital como Prestadores de Servicios de Valor Añadido reconocidos en la modalidad de sistema de creación de firma remota. En dicho plazo las referidas empresas concluyen su proceso de acreditación ante la AAC. Si cumplido el plazo del reconocimiento, la empresa no hubiese obtenido la acreditación ante la AAC, ésta la retira del Registro Oficial de Prestadores de Servicios de Certificación Digital.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera. Incorporación de los artículos 1A y 2A en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM

Incorpóranse los artículos 1A y 2A en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM, en los siguientes términos:

“Artículo 1A.- Modalidades de la firma electrónica

Se reconocen las siguientes tres (03) modalidades de firma electrónica:

(a) Firma Electrónica Simple. Es un dato en formato electrónico anexo a otros datos electrónicos o asociado de manera lógica con ellos, que utiliza un firmante para firmar.

(b) Firma Electrónica Avanzada. Es aquella firma electrónica simple que cumple con las siguientes características:

(i) está vinculada al firmante de manera única,

(ii) permite la identificación del firmante,

(iii) ha sido creada utilizando datos de creación de firmas que el firmante puede utilizar bajo su control, y

(iv) está vinculada con los datos firmados de modo tal que cualquier modificación posterior de los mismos es detectable.

(c) Firma Electrónica Cualificada. La firma electrónica cualificada o firma digital es aquella firma electrónica avanzada que cumple con lo establecido en el capítulo II del presente Reglamento.

Artículo 2A.- Carga de la prueba de la firma electrónica

Para cada modalidad de firma electrónica la aplicación de la carga de la prueba varía conforme a lo siguiente:

(a) En caso de controversia sobre la autoría de la firma electrónica simple o avanzada, la carga de la prueba recae en quien la invoque como auténtica.

(b) En caso de controversia, en la utilización de la firma electrónica cualificada, la carga de la prueba se invierte debiendo quien niegue la autoría, demostrar que la firma es apócrifa.

(…)”.

Segunda. Modificación de los artículos 6, 8, 10, 15, 16, 29, 33, 35, 36, 45, 46, 47, 48, 57, 60, Octava y Décima Cuarta Disposición Complementaria Final del Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM y modificatorias

Modifícanse los artículos 6, 8, 10, 15, 16, 29, 33, 35, 36, 45, 47, 48, el literal a) del artículo 46, el literal h) del artículo 57, artículo 60, la Octava Disposición Complementaria Final y el octavo término de la Décima Cuarta Disposición Complementaria Final del Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM y modificatorias, en los siguientes términos:

“Artículo 6.- Firma digital

Es aquella firma electrónica que utilizando una técnica de criptografía asimétrica, permite la identificación del signatario y ha sido creada por medios, incluso a distancia, que garantizan que éste mantiene bajo su control con un elevado grado de confianza, de manera que está vinculada únicamente al signatario y a los datos a los que refiere, lo que permite garantizar la integridad del contenido y detectar cualquier modificación ulterior, tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Servicios de Certificación Digital debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma Electrónica, y que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro IV del Código Civil.

(…)

Artículo 8.- Presunciones

Tratándose de documentos electrónicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrónica, se aplican las siguientes presunciones:

a) Que el suscriptor del certificado digital tiene el control de la clave privada asociada, con un elevado grado de confianza, incluso cuando la misma es gestionada por un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

(…)

Artículo 10.- Obligaciones del suscriptor

Las obligaciones del suscriptor son:

(a) Entregar información veraz bajo su responsabilidad.

(b) Generar por sí mismo la clave privada, o autorizar su generación a distancia por parte de un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota, y firmar digitalmente mediante los procedimientos señalados por la Entidad de Certificación.

(c) Mantener el control y la reserva de la clave privada bajo su responsabilidad, sin perjuicio de la responsabilidad del Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota que genere la clave privada para el servicio de firma remota.

(…)

Artículo 15.- Obligaciones del titular

Las obligaciones del titular son:

(…)

c) Solicitar la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad, excepto cuando dicha clave sea gestionada por un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado y, en su caso, por el Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

Artículo 16.- Contenido y vigencia

Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica contienen como mínimo, además de lo establecido en el artículo 7 de la Ley, lo siguiente:

a) Para personas naturales:

• Nombres y apellidos completos

• Número de documento oficial de identidad

• Tipo de documento

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

b) Para personas jurídicas (suscriptor):

• Denominación o razón social

• Número del Registro Único de Contribuyentes (RUC) de la organización

• Nombres y apellidos completos del suscriptor

• Número de documento oficial de identidad del suscriptor

• Tipo de documento del suscriptor

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

c) Para personas jurídicas (titular):

• Denominación o razón social

• Número del Registro Único de Contribuyentes (RUC) de la organización

• Nombre del sistema de información o sistema de cómputo

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

(…)

Artículo 29.- Funciones

Las Entidades de Registro o Verificación tienen las siguientes funciones:

a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél. La identificación y comprobación debe efectuarse:

(i) en presencia física del solicitante, o

(ii) a distancia, mediante el uso de los certificados digitales del solicitante entregados en su Documento Nacional de Identidad electrónico o digital, o

(iii) a distancia, utilizando métodos de identificación aprobados por la Autoridad Administrativa Competente que provean una seguridad equivalente en términos de fiabilidad a la presencia física.

(…)

Artículo 33.- Funciones

Los Prestadores de Servicios de Valor Añadido tienen las siguientes funciones:

(…)

d) Ofrecer servicios de gestión de claves privadas y creación de firmas digitales remotas de usuarios finales asociados a la prestación de servicios de valor añadido de firma remota.

(…)

Artículo 35.- Modalidades del Prestador de Servicios de Valor Añadido con firma digital del usuario final

Los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final, pueden a su vez adoptar tres modalidades:

a) Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo.

b) Sistema de Intermediación Digital cuyo procedimiento no concluye en microforma o microarchivo.

c) Sistema de creación de firma remota, que permite efectuar operaciones de creación de firma digital utilizando claves privadas que se encuentran localizadas remotamente y son gestionadas por un tercero.

(…)

Artículo 36.- Modalidad del Prestador de Servicios de Valor Añadido sin firma digital del usuario final

Los Prestadores de Servicios de Valor Añadido que realizan procedimientos sin firma digital del usuario final, pueden a su vez adoptar dos modalidades:

a) Sistema de sellado de tiempo. Consigna la fecha y hora cierta para evidenciar que un dato u objeto digital ha existido en un momento determinado del tiempo, y que no ha sido alterado desde entonces.

b) Sistema de preservación digital. Provee capacidades que permiten validar una firma digital en el largo plazo y/o pruebas de existencia de objetos digitales utilizando firmas digitales y sellos de tiempo.

(…)

Artículo 45.- Documento Nacional de Identidad Electrónico

El Documento Nacional de Identidad electrónico (DNIe) es un Documento Nacional de Identidad, emitido en una tarjeta inteligente por el Registro Nacional de Identificación y Estado Civil – RENIEC, que acredita presencial y/o electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificación públicas o privadas, aquellos incorporados en el Documento Nacional de Identidad Electrónico (DNIe) pueden usarse para el ejercicio del voto electrónico no presencial en los procesos electorales. El RENIEC dispone de las características y condiciones técnicas del Documento Nacional de Identidad Electrónico; así como los casos en los que no se incorporan los certificados digitales.

(…)

Artículo 46.- Estructura Jerárquica de Certificación del Estado Peruano

Las entidades que presten servicios de certificación digital en el marco de la Infraestructura Oficial de Firma Electrónica son las entidades de la administración pública o personas jurídicas de derecho público siguientes:

a) Entidad de Certificación Nacional para el Estado Peruano, la cual es la encargada de emitir los certificados subordinados para las Entidades de Certificación para el Estado Peruano que lo soliciten, además de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestadores de Servicios de Valor Añadido para el Estado Peruano, según los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento.

(…)

d) Prestador de Servicios de Valor Añadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente bajo cualquiera de las modalidades de servicio de valor añadido establecidas en el presente reglamento.

(…)

Los servicios brindados por los Prestadores de Servicios de Certificación Digital públicos se sustentan en los principios de acceso universal y no discriminación del uso de las tecnologías de la información y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades públicas que presten servicios como Entidad de Certificación Nacional para el Estado Peruano, Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestador de Servicios de Valor Añadido para el Estado Peruano, sólo pueden considerar los costos asociados a la prestación del servicio al momento de determinar su valor a efectos de gestionar la asignación presupuestal correspondiente o determinar las tasas que garanticen su sostenibilidad en el tiempo.

Artículo 47.- Designación de las entidades responsables

Se designa a la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, como Entidad de Certificación Nacional para el Estado Peruano. La Secretaría de Gobierno Digital es responsable de la gestión de los servicios de la ECERNEP, así como también implementa y mantiene un canal digital para la difusión de sus contenidos e instrumentos, cuya dirección en Internet es www.ecernep.gob.pe.

Se designa al Registro Nacional de Identificación y Estado Civil – RENIEC como Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano. Los servicios a ser prestados en cumplimiento de los roles señalados están a disposición de todas las Entidades Públicas del Estado Peruano y de todas las personas naturales y jurídicas que mantengan vínculos con él, no excluyendo ninguna representación del Estado Peruano en el territorio nacional o en el extranjero. El Registro Nacional de Identificación y Estado Civil – RENIEC puede asimismo implementar y poner a disposición de las Entidades Públicas otros servicios de certificación de valor añadido contemplados en el presente reglamento.

(…)

Las demás entidades de la Administración Pública que opten por constituirse como Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano y/o Prestador de Servicios de Valor Añadido para el Estado Peruano cumplen con las políticas y estándares que sean propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobadas por la Autoridad Administrativa Competente, y solicitar su acreditación correspondiente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica.

Artículo 48.- Entidad de Certificación Nacional para el Estado Peruano

a) La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la única Entidad de Certificación Nacional para el Estado Peruano. Todos los prestadores de servicios de certificación para el Estado Peruano siguen las políticas y estándares propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobados por la Autoridad Administrativa Competente.

b) La Entidad de Certificación Nacional para el Estado Peruano cuenta con una estructura funcional y jurídica estable y permanente dentro de la entidad que ejerce dicho rol, no cambiante en el tiempo, sólo variable en la cantidad de prestadores de servicios de certificación para el Estado Peruano que pueda tenerse bajo la Estructura Jerárquica de Certificación del Estado Peruano.

(…)

e) La Entidad de Certificación Nacional para el Estado Peruano participa como miembro con voz y voto en las comisiones, grupos de trabajo y/o órganos colegiados responsables de la gestión de la Infraestructura Oficial de la Firma Electrónica.

(…)

Artículo 57.- Funciones

La Autoridad Administrativa Competente tiene las siguientes funciones:

(…)

h) Publicar por medios telemáticos y sin restricción de acceso:

1. La relación de Prestadores de Servicios de Certificación Digital y su estado.

2. Sus procedimientos de gestión, organización y operación.

3. Los nombres de los integrantes que conforman o conformaron su estructura organizacional, técnica y operacional.

4. Todos sus documentos con carácter decisorio, así como aquellos de carácter resolutivo y administrativo (Resoluciones, ordenanzas o documentos similares).

5. Balance de gestión anual e indicadores.

i) Adoptar y aprobar el empleo de estándares técnicos internacionales dentro de la Infraestructura Oficial de Firma Electrónica, así como de otros estándares técnicos determinando su compatibilidad con los estándares internacionales; cooperar, dentro de su competencia, en la unificación de los sistemas que se manejan en los organismos de la Administración Pública, tendiendo puentes entre todos sus niveles; y, en la obtención de la interoperabilidad del mayor número de aplicaciones, componentes e infraestructuras de firmas digitales (análogos a la Infraestructura Oficial de Firma Electrónica en otros países).

(…)

Artículo 60º.- Acreditación de Entidades de Registro o Verificación

Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificación, incluyendo las Entidades de Registro o Verificación para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestación de sus servicios, los que tendrán que asegurar la verificación de la identidad del solicitante de un nuevo certificado digital conforme a lo establecido en el literal a) del artículo 29 del presente Reglamento.

(…)

“Octava. Plazo de Implementación de la Entidad de Certificación Nacional para el Estado Peruano, Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano

La Presidencia del Consejo de Ministros puede prestar sus servicios como Entidad de Certificación Nacional para el Estado Peruano (ECERNEP) sin encontrarse acreditada como tal ante la AAC, hasta el 31 de diciembre del 2022. En dicho periodo la Presidencia del Consejo de Ministros concluye su proceso de acreditación ante la AAC.

El Registro Nacional de Identificación y Estado Civil (RENIEC) tendrá un plazo hasta el 31 de julio del 2012 para iniciar los procedimientos de acreditación respectivos ante el INDECOPI. Este último contará con un plazo máximo de 120 días hábiles para culminarlos, sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento.

Autorícese al Registro Nacional de Identificación y Estado Civil (RENIEC), en su condición de Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano, emitir firmas y certificados digitales en tanto no esté acreditada ante la Autoridad Administrativa Competente (INDECOPI), reconociéndose a los documentos electrónicos soportados en dichos certificados digitales las presunciones legales establecidas en el artículo 8, así como, los efectos jurídicos que corresponde para los fines de los artículos 4 y 43 del presente reglamento.

A tal efecto las entidades de la Administración Pública que hagan uso de la firma digital, y de ser el caso, los Colegios de Notarios del Perú y/o la Junta de Decanos de los Colegios de Notarios del Perú, que así lo soliciten, deberán suscribir Convenios con el Registro Nacional de Identificación y Estado Civil (RENIEC), a fin de llevar un registro de los titulares y/o suscriptores de certificados digitales, así como, de los Certificados Digitales emitidos bajo esta Disposición Complementaria Final.

(…)

Décima Cuarta. Glosario de términos

(…)

Autoridad Administrativa Competente. Es el organismo público responsable de acreditar a las Entidades de Certificación, a las Entidades de Registro o Verificación y a los Prestadores de Servicios de Valor Añadido, públicos y privados, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, y las otras funciones señaladas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones.

(…)”.

Tercera. Modificación de los artículos 3, 4 y 9 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital

Modifícanse el artículo 3, 4 y 9 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital, en los siguientes términos:

“Artículo 3.- Alcance

El presente Decreto Supremo es de alcance obligatorio a todas las entidades de la Administración Pública comprendidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS.

(…)

Artículo 4.- Incorporación progresiva a la Plataforma GOB.PE

Las entidades comprendidas en el alcance del presente Decreto Supremo realizan las acciones necesarias para la incorporación progresiva de sus canales digitales a la Plataforma GOB.PE y las incluyen en sus instrumentos de gestión institucional. Para tal efecto, la Presidencia del Consejo de Ministros a través de la Secretaría de Gobierno Digital emite las disposiciones y plazos correspondientes.

El funcionario del Área de Comunicación o Imagen de la entidad o quien haga sus veces es el responsable del proceso de migración de los canales digitales a la Plataforma GOB.PE, reporta sus avances al Comité de Gobierno Digital de la entidad. Asimismo, el Líder de Gobierno Digital impulsa el referido proceso de migración gestionando la asignación de recursos para su implementación.

(…)

Artículo 9.- Líder de Gobierno Digital

Créase el rol del Líder de Gobierno Digital en cada una de las entidades de la Administración Pública comprendidas en el alcance del presente Decreto Supremo, quien es un funcionario o asesor de la Alta Dirección o director de un órgano de línea de la entidad. Es designado mediante acto resolutivo del titular de la entidad.

El Líder de Gobierno Digital comunica al Líder Nacional de Gobierno Digital los objetivos, acciones y medidas para la transformación digital y despliegue del Gobierno Digital establecidas en su entidad, así como el estado de la implementación de las iniciativas y proyectos priorizados por el Comité de Gobierno Digital, los avances del proceso de migración de los canales digitales a la Plataforma GOB.PE y la aplicación de lo dispuesto en el presente Decreto Supremo.

(…)”.

Cuarta. Modificación del artículo 2 del Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano

Modifícase el artículo 2 del Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano, en los siguientes términos:

“Artículo 2.- Alcance

El presente Decreto Supremo es de alcance obligatorio a todas las entidades de la Administración Pública comprendidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS.

(…)”.

Quinta. Modificación del artículo 3 del Decreto Supremo nº 118-2018-PCM, Decreto Supremo que declara de interés nacional el desarrollo del Gobierno Digital, la innovación y la economía digital con enfoque territorial

Modifícase el artículo 3 del Decreto Supremo nº 118-2018-PCM, Decreto Supremo que declara de interés nacional el desarrollo del Gobierno Digital, la innovación y la economía digital con enfoque territorial, en los siguientes términos:

“Artículo 3.- Integrantes del Comité de Alto Nivel

3.1. El Comité de Alto Nivel estará integrado por:

a) El/a titular de la Presidencia del Consejo de Ministros o su representante, quien la preside.

b) El/a Secretario/a de Gobierno Digital, quien cumple el rol de Secretaría Técnica.

c) Un representante del Despacho Presidencial.

d) El/a titular del Ministerio de Economía y Finanzas o su representante.

e) El/a titular del Ministerio de Educación o su representante.

f) El/a titular del Ministerio de la Producción o su representante.

g) El/a titular del Ministerio de Transportes y Comunicaciones o su representante.

h) El/a titular del Ministerio de Relaciones Exteriores o su representante.

i) El/a titular del Ministerio de Comercio Exterior y Turismo.

j) El/a titular del Ministerio de Defensa.

k) Un/a representante de los Gobiernos Regionales.

l) Un/a representante de los Gobiernos Locales.

m) Un/a representante de la sociedad civil.

n) Un/a representante del sector privado.

o) Un/a representante de la academia.

3.2. Los miembros del Comité de Alto Nivel solo podrán delegar su participación a un miembro de la Alta Dirección de la entidad.

3.3. El Presidente del Comité podrá invitar a participar en sus sesiones a titulares de otras entidades públicas o privadas cada vez que en éstas se traten objetivos que tengan relación con su competencia.

3.4 El Comité promoverá políticas, iniciativas y programas para el desarrollo de la innovación, la competitividad, la transformación digital de procesos y servicios públicos, las competencias digitales, la inclusión digital y el desarrollo de aplicaciones para la economía digital.

3.5. La participación de los integrantes del Comité de Alto Nivel es ad honorem.

3.6 La Secretaría Técnica es responsable de proponer los lineamientos para el funcionamiento del Comité de Alto Nivel, conformación de equipos técnicos y otras iniciativas para el logro de sus objetivos.

(…)”.

Sexta. Modificación del artículo 6 del Decreto Supremo nº 093-2019-PCM, Decreto Supremo que aprueba el Reglamento de la Ley nº 30254, Ley de Promoción para el uso seguro y responsable de las Tecnologías de la Información y Comunicaciones por Niños, Niñas y Adolescentes

Modifícase el artículo 6 del Decreto Supremo nº 093-2019-PCM, Decreto Supremo que aprueba el Reglamento de la Ley nº 30254, Ley de Promoción para el uso seguro y responsable de las Tecnologías de la Información y Comunicaciones por Niños, Niñas y Adolescentes, en los siguientes términos:

“Artículo 6.- Miembros de la Comisión Especial

6.1 La Comisión Especial está conformada por:

a) Un/a representante de la Presidencia del Consejo de Ministros, quien la preside.

b) Un/a representante de la alta dirección del Ministerio de Educación.

c) Un/a representante de la alta dirección del Ministerio del Interior.

d) Un/a representante de la alta dirección del Ministerio de la Mujer y Poblaciones Vulnerables.

e) Un/a representante de la alta dirección del Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL).

f) Un/a representante del sector privado.

g) Un/a representante de la sociedad civil.

6.2 Las entidades que conforman la Comisión Especial cuentan con un/a representante titular y un/a alterno, quienes forman parte de la alta dirección y son designados por el Titular de la entidad o máxima autoridad, según corresponda.

6.3. Las entidades públicas designan a sus representantes para la Comisión Especial en el plazo de cinco (05) días hábiles de publicado el presente Reglamento. Dicha designación es comunicada a la Presidencia del Consejo de Ministros.

6.4. Los representantes del sector privado y de la sociedad civil son propuestos por los miembros de la Comisión Especial y designados mediante Resolución Ministerial de la Presidencia del Consejo de Ministros.

6.5. El ejercicio de las funciones de los miembros de la Comisión Especial, así como de sus miembros alternos, es ad honórem.

6.6. La Comisión Especial puede invitar a participar en las acciones que desarrolle a otras entidades públicas, privadas o de la sociedad civil, así como a profesionales especializados con la finalidad de solicitar la colaboración de los mismos en temas que sean materia de sus competencias o funciones. Asimismo, la Presidencia del Consejo de Ministros puede invitar a representantes de los gobiernos regionales y gobiernos locales en las sesiones de la Comisión Especial.

6.7. La Comisión Especial propondrá su Reglamento Interno en un plazo de treinta (30) días calendario contados desde su instalación, para su aprobación mediante Resolución Ministerial.

(…)”.

DISPOSICIÓN COMPLEMENTARIA DEROGATORIA

ÚNICA. Derogación

Deróguese el Decreto Supremo nº 065-2015-PCM, que crea la Comisión Multisectorial Permanente encargada del seguimiento y evaluación del “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0” (CODESI), y el Decreto Supremo nº 066-2011-PCM, que aprueba el Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0.

ANEXO.- GLOSARIO DE TÉRMINOS

a) Alfabetización digital. Es el proceso de adquisición de competencias esenciales para interactuar en entornos digitales permanentemente; necesario para estudiar, trabajar, desenvolverse en la vida diaria, que permite ejercer la ciudadanía de manera plena y aprovechar las oportunidades que brinda el entorno.

b) Algoritmo de resumen hash. Es aquel algoritmo que implementa una función hash. Recibe como entrada un dato de tamaño variable y genera como salida un dato de longitud fija.

c) Carpeta personal. Es un espacio lógico que permite el alojamiento de documentos personales en formato digital.

d) Ciencia de datos. Comprende el proceso de descubrimiento de correlaciones entre variables a una escala (incluyendo volumen, velocidad y variedad) que va más allá de la cognición humana y de otros paradigmas analíticos.

e) Ciudadanía digital. Es el ejercicio de los deberes y derechos de un ciudadano o persona en general en un entorno digital seguro

f) Datos abiertos. Son aquellos datos producidos por las entidades públicas que se encuentran disponibles en la web (en formatos estandarizados y abiertos) para que cualquier persona pueda acceder a ellos, reutilizarlos, combinarlos y redistribuirlos para crear nuevos servicios, visualizaciones o realizar investigaciones a partir de ellos.

g) Datos espaciales. Son aquellos datos que describen la geometría, la localización o las relaciones topológicas de los objetos geográficos. Son sinónimos: dato geoespacial, dato geográfico o dato georreferenciado.

h) Datos estadísticos. Son los valores que se obtienen al llevar a cabo un estudio de tipo estadístico en base a registros administrativos, censos o encuestas en materia socioeconómica, demográfica u otra de especial interés para la producción estadística.

i) Datos estadísticos oficiales. Son los datos estadísticos producidos por el Sistema Nacional de Estadística.

j) Descriptores archivísticos. Son elementos necesarios para la búsqueda, control y acceso de documentos archivísticos.

k) Digital. Se refiere a todo aquello que es procesable por medio de un dispositivo digital. Es caracterizado por el uso de codificación binaria.

l) Electrónico. Se refiere a todo aquello que es procesable por medio de un dispositivo electrónico. Es caracterizado por el uso de codificación analógica o binaria.

m) Factor de autenticación. Es una categoría de credenciales de autenticación. Cada categoría es un factor de autenticación. Los factores de autenticación más conocidos son tres: algo que sabes, algo que tienes y algo que eres.

n) Formato electrónico. Documento electrónico estructurado producido y procesable por sistemas de información.

o) Fecha y hora cierta. Fecha y hora consignada y firmada digitalmente por un Prestador de Servicios de Valor Añadido, en la modalidad de Sistema de Sellado de Tiempo.

p) Identidad digital. Conjunto de atributos que individualiza y permite identificar a una persona en entornos digitales.

q) Inteligencia artificial. Se refiere a los sistemas que presentan comportamiento inteligente, que en base al análisis de su entorno toman decisiones, con algún grado de autonomía, para lograr metas específicas.

r) Metadato. Son datos estructurados que describen otros datos. Los metadatos proporcionan la semántica necesaria para entender un dato al definirlo, contextualizarlo y describir sus características y sus relaciones, sus referencias de uso, sus formas de representación e incluso, sus valores permitidos, con la finalidad de garantizar su disponibilidad, accesibilidad, conservación e interoperabilidad con otros sistemas.

s) Prototipado. Actividad de la etapa de diseño y construcción del ciclo de vida de los servicios digitales, en la cual se construyen prototipos de una solución con la finalidad de evaluar su viabilidad.

t) Proyectos de Tecnologías Digitales de carácter transversal. Son aquellos proyectos que tienen como resultado plataformas, soluciones o servicios digitales de uso común por dos o más entidades públicas para soportar procedimientos administrativos, procesos de gestión interna, servicios públicos de cara al ciudadano o cualquier otra intervención pública que genere beneficios para la sociedad. Dichos proyectos tienen como mínimo las siguientes características:

a) Atienden un objetivo estratégico nacional o política de Estado,

b) Se integran con uno o más bloques básicos de interoperabilidad técnica,

c) Tienen un alcance interinstitucional o multisectorial, y,

d) Usan intensivamente las tecnologías digitales o datos.

Esta definición no incluye a los proyectos de carácter institucional, los cuales se encuentran vinculados con los procesos de una entidad en el ejercicio de sus funciones y competencias. Entiéndase como proyecto de carácter institucional al esfuerzo planificado, temporal y único, realizado para crear productos o servicios únicos que agreguen valor, mejoren u optimicen las condiciones de operación o mantenimiento de una institución, que provoquen un cambio beneficioso en ella y/o en sus administrados, y que requiere la participación de representantes de uno o más unidades de organización, pudiendo contar con la colaboración de los servicios que presten otras entidades públicas, así como utilizar las tecnologías disponibles en estas.

u) Registros distribuidos. Son un tipo de registro que es compartido, replicado y sincronizado (de manera descentralizada y distribuida) entre y por los nodos de una red.

v) Resumen hash. Es el valor producido por un algoritmo de resumen hash.

w) Servicio de información. Mecanismo de provisión de información pública que las entidades del Estado gestionan en sus sistemas de información y que se suministran entre sí a través de la PIDE.

x) Tecnología de registros distribuidos. Tecnología que permite que los nodos de una red propongan, validen y registren de forma segura cambios de estado (o actualizaciones) en un registro distribuido.

01Nov/20

Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo de 25 de marzo de 2019

Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo de 25 de marzo de 2019, por el que se modifica el Reglamento (UE, Euratom) nº 1141/2014 en lo que respecta a un procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales en el contexto de las elecciones al Parlamento Europeo. (Diario Oficial de la Unión Europea L 85 de 27 de marzo de 2019)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 224,

Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica, y en particular su artículo 106 bis,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Previa consulta al Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) El Reglamento (UE, Euratom) nº 1141/2014 del Parlamento Europeo y del Consejo (3) estableció un estatuto jurídico europeo específico para los partidos políticos europeos y las fundaciones políticas europeas y prevé su financiación con cargo al presupuesto general de la Unión Europea. Asimismo, establece una Autoridad para los partidos políticos europeos y las fundaciones políticas europeas (en lo sucesivo, «Autoridad»).

(2) A fin de que la Autoridad pueda desempeñar plenamente sus funciones, incluidas las nuevas previstas en el presente Reglamento, y permitir que lo haga de forma independiente, es necesario dotarla de personal permanente y atribuir al director de la Autoridad las competencias de una autoridad facultada para proceder a los nombramientos.

(3) Acontecimientos recientes han puesto de manifiesto los riesgos potenciales para los procesos electorales y la democracia que pueden derivarse del uso ilegal de los datos personales. Por lo tanto, es necesario proteger la integridad del proceso democrático europeo estableciendo sanciones financieras en situaciones en las que los partidos políticos europeos o las fundaciones políticas europeas se aprovechen de infracciones de las normas de protección de datos personales con el fin de influir en el resultado de las elecciones al Parlamento Europeo.

(4) Con ese fin, debe establecerse un procedimiento de verificación en virtud del cual, en determinadas circunstancias, la Autoridad deba solicitar al Comité de Personalidades Independientes, establecido por el Reglamento (UE, Euratom) nº 1141/2014, que examine si un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales. Cuando, de acuerdo con el procedimiento de verificación, se considere que eso ha sucedido, la Autoridad debe imponer sanciones con arreglo al sistema de sanciones efectivo, proporcionado y disuasorio establecido en el Reglamento (UE, Euratom) nº 1141/2014.

(5) Cuando la Autoridad imponga una sanción a un partido político europeo o a una fundación política europea de conformidad con el procedimiento de verificación, debe tener debidamente en cuenta el principio non bis in idem, según el cual una misma infracción no puede sancionarse dos veces. La Autoridad debe garantizar asimismo el respeto del principio de seguridad jurídica y que se haya dado al partido político europeo o a la fundación política europea de que se trate la posibilidad de ser oído.

(6) El nuevo procedimiento debe coexistir con los procedimientos actuales utilizados para verificar el cumplimiento de las condiciones de registro y en los casos de violación manifiesta y grave de los valores en los que se basa la Unión. No obstante, los plazos para la verificación del cumplimiento de las condiciones de registro y de los requisitos establecidos en el artículo 10 del Reglamento (UE, Euratom) nº 1141/2014 no deben aplicarse al nuevo procedimiento.

(7) Dado que el nuevo procedimiento se activa por decisión de una autoridad nacional competente de control de la protección de datos, el partido político europeo o la fundación política europea de que se trate deben poder solicitar que se revise la sanción en caso de que se revoque la decisión de esa autoridad nacional de control o de que prospere un recurso contra dicha decisión, siempre que se hayan agotado todas las vías de recurso nacionales.

(8) Con el fin de garantizar que las elecciones al Parlamento Europeo de 2019 se celebren de conformidad con unas normas democráticas rigurosas y respetando plenamente los valores europeos de la democracia, el Estado de Derecho y el respeto de los derechos fundamentales, es importante que las disposiciones del nuevo procedimiento de verificación entren en vigor a su debido tiempo y que el procedimiento sea aplicable cuanto antes. A fin de lograr este objetivo, las modificaciones del Reglamento (UE, Euratom) nº 1141/2014 introducidas en el presente Reglamento deben entrar en vigor en la fecha de su publicación en el Diario Oficial de la Unión Europea.

(9) Procede, por tanto, modificar el Reglamento (UE, Euratom) nº 1141/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El Reglamento (UE, Euratom) nº 1141/2014 se modifica como sigue:

1) En el artículo 6, el apartado 5 se sustituye por el texto siguiente:

«5. El director de la Autoridad estará asistido por personal, respecto del cual ejercerá las competencias atribuidas a la autoridad facultada para proceder a los nombramientos por el Estatuto de los funcionarios de la Unión Europea y las competencias atribuidas a la autoridad facultada para proceder a la contratación por el régimen aplicable a los otros agentes de la Unión, establecidos por el Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo (“competencias de la autoridad facultada para proceder a los nombramientos”). La Autoridad podrá recurrir en cualquier ámbito de su trabajo a otros expertos nacionales en comisión de servicio o a agentes no contratados por la Autoridad.

Serán aplicables al personal de la Autoridad el Estatuto de los funcionarios y el Régimen aplicable a los otros agentes y las normas adoptadas de común acuerdo entre las instituciones de la Unión para dar efecto al Estatuto de los funcionarios y el Régimen aplicable a los otros agentes.

La selección del personal no podrá originar un conflicto de intereses entre sus funciones en la Autoridad y otras funciones oficiales, y se abstendrá de cualquier acto incompatible con la naturaleza de sus funciones.».

2) En el artículo 10, apartado 3, el párrafo tercero se sustituye por el texto siguiente:

«Los procedimientos previstos en los párrafos primero y segundo no se iniciarán en los dos meses precedentes a las elecciones al Parlamento Europeo. Dicho plazo no se aplicará por lo que respecta al procedimiento establecido en el artículo 10 bis.».

3) Se inserta el artículo siguiente:

«Artículo 10 bis

Procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales

1. Ningún partido político europeo ni ninguna fundación política europea influirá o tratará de influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción, cometida por parte de una persona física o jurídica, de las normas aplicables en materia de protección de datos personales.

2. Si la Autoridad tiene conocimiento de una decisión de una autoridad nacional de control, en el sentido del artículo 4, punto 21, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*), en la que se declare que una persona física o jurídica ha infringido las normas aplicables en materia de protección de datos personales, y si de dicha decisión se desprende, o hay otros motivos fundados para pensar, que la infracción está asociada a actividades políticas de un partido político europeo o una fundación política europea en el contexto de las elecciones al Parlamento Europeo, la Autoridad someterá este asunto al Comité de Personalidades Independientes establecido en el artículo 11 del presente Reglamento. En caso necesario, la Autoridad podrá ponerse en contacto con la correspondiente autoridad nacional de control.

3. El Comité a que se refiere el apartado 2 dictaminará si el partido político europeo o la fundación política europea de que se trate ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de dicha infracción. La Autoridad solicitará el dictamen sin demora indebida y, como máximo, un mes después de haber tenido conocimiento de la decisión de la autoridad nacional de control. La Autoridad establecerá un plazo corto y razonable para que el Comité emita su dictamen. El Comité cumplirá dicho plazo.

4. Teniendo en cuenta el dictamen del Comité, la Autoridad decidirá, en virtud del artículo 27, apartado 2, letra a), inciso vii), si impone sanciones financieras al partido político europeo o a la fundación política europea de que se trate. La decisión de la Autoridad estará debidamente motivada, en particular por lo que respecta al dictamen del Comité, y se publicará de forma diligente.

5. El procedimiento previsto en el presente artículo se entenderá sin perjuicio del procedimiento establecido en el artículo 10.»

4) En el artículo 11, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«A solicitud de la Autoridad, el Comité emitirá un dictamen sobre:

a) cualquier posible violación manifiesta y grave, por parte de un partido político europeo o una fundación política europea, de los valores en los que se basa la Unión Europea, contemplados en el artículo 3, apartado 1, letra c), y en el artículo 3, apartado 2, letra c);

b) si un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales.

En los casos a los que se refieren las letras a) y b) del párrafo primero, el Comité podrá solicitar cualquier documento o prueba pertinentes a la Autoridad, al Parlamento Europeo, al partido político europeo o a la fundación política europea de que se trate, a otros partidos políticos, fundaciones políticas u otras partes interesadas, y podrá solicitar oír a sus representantes. Para el caso al que se refiere la letra b) del párrafo primero, la autoridad nacional de control mencionada en el artículo 10 bis cooperará con el Comité de conformidad con el Derecho aplicable.».

5) En el artículo 18, el apartado 2 se sustituye por el texto siguiente:

«2. En el momento de presentación de su solicitud, el partido político europeo y la fundación política europea deberán cumplir las obligaciones contempladas en el artículo 23 y, a partir de la fecha de presentación de la solicitud hasta el final del ejercicio o de la acción objeto de la contribución o subvención, deberán permanecer inscritos en el Registro y no ser objeto de ninguna de las sanciones previstas en el artículo 27, apartado 1, y en el artículo 27, apartado 2, letra a), incisos v), vi) y vii).».

6) El artículo 27 queda modificado como sigue:

a) en el apartado 2, letra a), se añade el inciso siguiente:

«vii) cuando, de conformidad con el procedimiento de verificación previsto en el artículo 10 bis, se considere que un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales.»;

b) se añade el apartado siguiente:

«7. Cuando una decisión de la autoridad nacional de control a que se refiere el artículo 10 bis haya sido revocada o cuando haya prosperado un recurso contra dicha decisión, y siempre que se hayan agotado todas las vías de recurso nacionales, la Autoridad revisará las sanciones impuestas en virtud del apartado 2, letra a), inciso vii), a petición del partido político europeo o de la fundación política europea de que se trate.».

Artículo 2

El presente Reglamento entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 25 de marzo de 2019.

Por el Parlamento Europeo,

El Presidente,  A. TAJANI

Por el Consejo

El Presidente, G. CIAMBA

————————————————————————————————

(*) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».

(1) Dictamen de 12 de diciembre de 2018 (pendiente de publicación en el Diario Oficial).

(2) Posición del Parlamento Europeo de 12 de marzo de 2019 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 19 de marzo de 2019.

(3) Reglamento (UE, Euratom) nº 1141/2014 del Parlamento Europeo y del Consejo, de 22 de octubre de 2014, sobre el estatuto y la financiación de los partidos políticos europeos y las fundaciones políticas europeas (DO L 317 de 4.11.2014, p. 1).

23Abr/20

Ley nº 2015 de 31 de enero de 2020, por medio de la cual se crea la Historia Clínica Electrónica Interoperable (HCEI) y se dictan otras disposiciones

El CONGRESO DE COLOMBIA

DECRETA:

CAPÍTULO I.- Objeto, definiciones, diseño, implementación y administración, sujetos obligados, custodia y guarda

Artículo 1º. Objeto.

La presente ley tiene por objeto regular la Interoperabilidad de la Historia Clínica Electrónica – IHCE, a través de la cual se intercambiarán los elementos de datos clínicos relevantes, así como los documentos y expedientes clínicos del curso de vida de cada persona.

A través de la Historia Clínica Electrónica se facilitará, agilizará y garantizará el acceso y ejercicio de los derechos a la salud y a la información de las personas, respetando el Hábeas Data y la reserva de la misma.

Parágrafo. El Ministerio de Salud y Protección Social reglamentará los datos clínicos relevantes.

Artículo 2º. Definiciones.

Historia Clínica Electrónica: es el registro integral y cronológico de las condiciones de salud del paciente, que se encuentra contenido n sistemas de información y aplicaciones de software con capacidad de comunicarse, intercambiar datos y brindar herramientas para la utilización de la información refrendada con firma digital del profesional tratante. Su almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normatividad vigente.

Interoperabilidad: capacidad de varios sistemas o componentes para intercambiar información, entender estos datos y utilizarlos. De este modo, la información es compartida y está accesible desde cualquier punto de la red asistencial en la que se requiera su consulta y se garantiza la coherencia y calidad de los datos en todo el sistema, con el consiguiente beneficio para la continuidad asistencial y la seguridad del paciente.

Artículo 3°. Ámbito de aplicación.

Los Prestadores de Servicios de Salud estarán obligados a diligenciar y disponer Ios datos, documentos y expedientes de la historia clínica en la plataforma de interoperabilidad que disponga el Gobierno nacional.

El Ministerio de Salud y Protección Social definirá las características, los términos y condiciones para la interoperabilidad de los elementos de datos, documentos y expedientes de la historia clínica, cumpliendo con los lineamientos de la política de Gobierno Digital o aquélla que haga sus veces, la cual será establecida por el Ministerio de Tecnologías de la Información y las Comunicaciones. El Archivo General de la Nación, de conformidad con las normas aplicables, reglamentará lo relacionado con los tiempos de retención documental, organización y conservación de las historias clínicas. De igual forma, estará en cabeza del Ministerio de Salud y Protección Social definir los criterios para exigir su respectiva implementación.

Parágrafo 1°. El Ministerio de Salud y Protección Social adoptará un plan de implementación de la Interoperabilidad de la Historia Clínica Electrónica – IHCE para el intercambio de los datos clínicos relevantes, el cual deberá tener en cuenta las condiciones específicas de los sujetos obligados. En todo caso, el plazo máximo de implementación será de cinco (5) años contados a partir de la entrada en vigencia de la presente ley. Esta estrategia obedecerá a criterios de interoperabilidad, privilegiando los datos, avances y sistemas existentes en los distintos prestadores dentro del sistema de salud, generando así un ahorro en la implementación de la Interoperabilidad de la Historia Clínica Electrónica -IHCE.

En todo caso, facúltese al Ministerio de Salud y Protección Social para definir los términos de implementación de la interoperabilidad de los documentos y expedientes de la historia clínica electrónica como una fase superior al intercambio de datos clínicos relevantes.

Parágrafo 2°. El Ministerio de Salud y Protección Social definirá los criterios para exigir la Interoperabilidad de la Historia Clínica Electrónica como criterio de habilitación dentro del Sistema Único de Habilitación para Prestadores de Servicios de Salud, en los términos de implementación al que hace referencia el parágrafo primero del presente artículo.

A los prestadores de servicios de salud y demás personas naturales o jurídicas que se relacionen con la atención en salud exceptuados en el marco del artículo 279 de la Ley 100 de 1993, les aplicarán las disposiciones de la presente Ley.

Artículo 4°. Reglamentación y administración.

Los Ministerios de Salud y Protección Social y el de Tecnologías de la Información y las Comunicaciones, o aquéllos que hagan sus veces, reglamentarán el modelo de Interoperabilidad de la Historia Clínica Electrónica. El Ministerio de Salud y Protección Social administrará el modelo de Interoperabilidad de la Historia Clínica Electrónica ­IHCE y el Ministerio de Tecnologías de la Información y las Comunicaciones será el responsable de la administración de la herramienta tecnológica de la plataforma de interoperabilidad.

Parágrafo. El modelo de Interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de doce (12) meses, contados a partir de la entrada en vigencia de la presente ley.

Artículo 5°. Guarda y custodia.

Todos los prestadores de servicios de salud, públicos o privados, seguirán teniendo la responsabilidad de la guarda y custodia de las historias clínicas de las personas en sus propios sistemas tecnológicos de acuerdo con las leyes vigentes sobre la materia. En todo caso, también serán responsables de la guarda y custodia los demás actores de salud involucrados en el marco de interoperabilidad de la historia clínica electrónica.

Parágrafo: El Ministerio de Salud y de la Protección Social, reglamentará el acceso a la información por parte del personal distinto al equipo de salud, en el marco de interoperabilidad de la historia clínica electrónica, lo cual deberá garantizar la privacidad y reserva de la historia clínica.

CAPÍTULO II.- Titularidad

Artículo 6°. Titularidad.

Cada persona será titular de su Historia Clínica Electrónica, a la cual tendrán acceso, además del titular, los sujetos obligados en el artículo tercero de la presente ley, con el previo y expreso consentimiento de la persona o paciente de acuerdo con la normatividad vigente.

Artículo 7°. Autorización a terceros.

Solo la persona titular de la Historia Clínica Electrónica podrá autorizar el uso por terceros de la información total o parcial en ella contenida de acuerdo con la normatividad vigente; salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

CAPÍTULO III.- Contenido, gratuidad y autenticidad

Artículo 8°. Contenido.

La Historia Clínica Electrónica deberá contener los datos clínicos relevantes de la persona de forma ciaré, completa y estandarizada con los más altos niveles de confidencialidad.

Parágrafo 1°. La información suministrada en la Historia Clínica Electrónica no podrá ser modificada sin que quede registrada la modificación de que se trate, aun en el caso de que ella tuviera por objeto subsanar un error.

En caso de ser necesaria la corrección de una información de Historia Clínica Electrónica, se agregará el nuevo dato con la fecha, hora, nombre e identificación de quien hizo la corrección, sin suprimir lo corregido y haciendo referencia al error que subsana.

Parágrafo 2°. Los sujetos obligados deberán consignar en la Historia Clínica Electrónica Interoperable cualquier tipo de lesión causada por sustancias o agentes químicos corrosivos a la piel.

Artículo 9°. Gratuidad.

Todo paciente tendrá derecho a que le suministren su historia clínica por cualquier medio electrónico por parte de los prestadores de servicios de salud de forma gratuita, completa y rápida.

Artículo 10. Autenticidad.

La Historia Clínica Electrónica se presumirá auténtica de acuerdo con la normatividad vigente.

CAPÍTULO IV.- Disposiciones generales

Artículo 11°. Reportes obligatorios de salud pública.

El Ministerio de Salud y Protección Social articulará la información consignada en los reportes obligatorios de salud pública con la Historia Clínica Electrónica.

Artículo 12°. Prohibición de divulgar datos.

Está prohibida la divulgación de los datos de cualquier persona consignados en la Historia Clínica Electrónica por parte de quien hubiere tenido acceso a esta información, teniendo en cuenta la normatividad vigente.

Parágrafo 1. Para los profesionales de la salud y los servidores públicos, la divulgación de la información de que trata el presente artículo constituirá falta gravísima de acuerdo con la Ley 1952 de 2019 y la Ley 23 de 1981 o normas que la modifiquen, complementen o sustituyan.

Parágrafo 2. Las EPS y las IPS responsables del manejo de la información no podrán divulgar los datos por ellos administrados sin autorización expresa de la persona.

Artículo 13°. Seguridad e la información y seguridad digital.

Los actores que traten información en el marco del presente título deberán establecer un plan de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, para lo cual establecerán una estrategia a través de la cual deberán realizar periódicamente una evaluación del riesgo de seguridad digital, que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo.

Para lo anterior, deberán contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo mediante la adopción de los lineamientos para la administración de la seguridad de la información y la seguridad digital que emita el Ministerio de Tecnologías de la Información y las Comunicaciones o quien haga sus veces. Lo anterior, incluyendo lo señalado por la Ley 1581 de 2012 de Hábeas Data y Ley 527 de 1999 de Comercio Electrónico, o las normas que las modifiquen, sustituyan o complementen.

Artículo 14°. Financiación.

El Gobierno nacional y los demás agentes del sistema que intervengan en la IHCE concurrirán en la financiación para la implementación de los mecanismos necesarios que garanticen el funcionamiento continuo, oportuno y accesible de la IHCE.

Artículo 15°. Organización y manejo del archivo físico de las historias clínicas.

El Archivo General de la Nación junto con el Ministerio de Salud y Protección Social reglamentarán lo relacionado con los tiempos de retención, organización, así como la conservación de los documentos y el expediente de la historia clínica física o electrónica, en concordancia con la normatividad que rija la materia.

Artículo 16°. Vigencia.

La presente ley rige desde su promulgación y deroga las normas que le sean contrarias.

EL PRESIDENTE DEL HONORABLE SENADO DE LA REPÚBLICA, Lidio Arturo García Turbay

EL SECRETARIO GENERAL DEL HONORABLE SENADO DE LA REPÚBLICA, Gregorio Eljach Pacheco

EL PRESIDENTE DE LA HONORABLE CÁMARA DE REPRESENTANTES, Carlos Alberto Cuenca Chaux

EL SECRETARIO GENERAL DE LA HONORABLE CÁMARA DE REPRESENTANTES, Jorge Humberto Mantilla Serrano

Ley nº 2015 por medio del cual se crea la Historia Clínica Electrónica Interoperable y se dictan otras disposiciones.

República de Colombia, Gobierno Nacional

Publíquese y cúmplase

Dado en Bogotá, DC a los 31 de enero de 2020

LA MINISTRA DEL INTERIOR, Nancy Patricia Gutiérrez Castañeda

EL MINISTRO DE HACIENDA Y CRÉDITO PÚBLICO, Alberto Carrasquilla Barrera

LA MINISTRA DE JUSTICIA Y DEL DERECHO, Margarita Leonor Cabello Blanco

EL VICEMINISTRO DE SALUDO PÚBLICA Y PRESTACIÓN DE SERVICIOS, ENCARGADO DE LAS FUNCIONES DEL EMPLEO DE MINISTRO DE SALUD Y PROTECCIÓN SOCIAL, Iván Darío González Ortiz

21Ene/20

Instrucción nº 1/2019, de 20 de diciembre de 2019, sobre la protección de datos en el ámbito del Ministerio Fiscal : el responsable y el Delegado de Protección de Datos.

  • 1. Introducción

El derecho a la protección de datos personales es un derecho fundamental
implícitamente reconocido en el art. 18.4 de la Constitución Española y
consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la
Unión Europea
(en adelante, UE) y en el art. 16.1 del Tratado de
Funcionamiento de la UE. Parte de su contenido reside en la facultad de
disposición y control sobre los datos personales, poderes que se concretan
jurídicamente en “la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular” (STC 76/2019, de 22 de mayo). Asimismo, los datos han de tratarse de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Este derecho “impone a los poderes públicos la prohibición de que se conviertan en fuentes de información sin las debidas garantías, así como el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información” (STC 292/2000, de 30 de noviembre).

La actuación cotidiana del Ministerio Fiscal (en adelante, MF) implica el
necesario tratamiento de datos personales, ejecutando acciones sobre los
mismos que deben respetar la normativa aplicable a la materia. Esta actuación se desarrolla fundamentalmente en el contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al cumplimiento de su misión de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social (arts. 124 CE y 2 EOMF). Junto a ello, el MF efectúa tratamientos de datos personales en los expedientes de naturaleza gubernativa, por ejemplo, al tramitar y/o gestionar las situaciones administrativas derivadas de las relaciones funcionariales o laborales de las personas destinadas en las fiscalías.

En ambos casos, la actuación del MF está sujeta a la normativa de protección de datos, materia de cierta complejidad y que actualmente está en desarrollo, en la que confluye la normativa europea y la propia de los Estados miembros.

Resulta preciso un cuidadoso análisis de la legislación aplicable, teniendo en cuenta la naturaleza y funciones del MF, órgano de relevancia constitucional con personalidad jurídica propia, integrado con autonomía funcional en el Poder Judicial (art. 2.1 EOMF).

La regulación vigente se basa en el principio de responsabilidad proactiva, que supone la obligación de aplicar medidas técnicas y organizativas apropiadas, acordes con la naturaleza, ámbito y fines del tratamiento, a fin de garantizar y poder demostrar que el mismo es conforme a la normativa, e implica la necesidad de identificar a los responsables del tratamiento. Y, por otro lado, contempla la figura del Delegado de Protección de Datos (en adelante, DPD), con funciones de asesoramiento y supervisión sobre esta materia, previsión que requiere su concreción en el ámbito específico del MF.

La acomodación de la actuación del MF a la normativa de protección de datos plantea la necesidad de precisar estos aspectos, teniendo en cuenta su misión, estructura, organización y funcionamiento, a la luz de la nueva regulación y sin perjuicio de las adaptaciones que resulten precisas, en su caso, derivadas de la ulterior trasposición de la Directiva (UE) 2016/680 que se reseñará más adelante.

Esta instrucción se ha elaborado con el asesoramiento del Delegado de
Protección de Datos del MF (en adelante, DPD del MF) y ha sido sometida a
informe del Consejo Fiscal, de acuerdo con el art. 14. cuatro EOMF.

  • 2. Normativa general de protección de datos

Desde la UE se ha pretendido proporcionar un enfoque coherente de la
protección de datos, armonizando, en la medida de lo posible, la normativa
sobre la materia aplicable a los sectores público y privado de los Estados
miembros y el propio tratamiento por las instituciones, órganos y organismos de la Unión.

En primer lugar, y con el fin de garantizar una protección eficaz, completa y homogénea de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de tales datos e
identificar a los sujetos que están obligados a adoptar medidas, se aprobó el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016
, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), aplicable desde el pasado 25 de mayo de 2018, de alcance general, obligatorio y directamente aplicable en cada Estado miembro; y para el “ámbito penal” la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y a la libre circulación de dichos datos (en adelante, Directiva 2016/680), norma esta última pendiente aún de trasposición a nuestro ordenamiento.

Las anteriores normas contienen disposiciones referidas tanto al sector público como al sector privado de los Estados miembros. Para el tratamiento efectuado por las instituciones, órganos y organismos de la Unión, se aplica el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE.

En nuestro ordenamiento interno, y con carácter general, la Ley Orgánica
3/2018, de 5 de diciembre,
de Protección de Datos Personales y garantía de
los derechos digitales
(en adelante, LOPDGDD) se dictó con el objetivo de
adaptar nuestro ordenamiento jurídico al RGPD, manteniendo la vigencia de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) exclusivamente para los tratamientos sometidos a la mencionada Directiva 2016/680, en tanto no entre en vigor la norma que trasponga al derecho español lo dispuesto en la misma.

La normativa citada presenta una nueva configuración de la protección de
datos que, superado el concepto de los ficheros, se centra en el tratamiento de datos y en las obligaciones que corresponden al responsable del mismo. Para ello, parte de la definición del tratamiento como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (art. 4.2 RGPD). E identifica al responsable del tratamiento o responsable como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”, añadiendo que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá́ establecerlos el Derecho de la Unión o de los Estados miembros» (art. 4.7 RGPD).

  • 3. La protección de datos en el ámbito de la administración de Justicia

Como hemos indicado, la normativa europea mencionada pretende armonizar y unificar la protección de datos en los sectores público y privado. Sin embargo, y a pesar de este planteamiento común, la especial naturaleza de ciertos tratamientos, efectuados con determinados fines, y la necesidad de salvaguardar otros intereses que también exigen una especial protección, ha requerido una mención específica en la normativa y la previsión de ciertas especialidades.

Este es el caso del tratamiento efectuado con ocasión de la actividad de los
tribunales y otras autoridades judiciales (considerandos 20 y 97 del RGPD) a los que se aplica el Reglamento – salvo en el ámbito penal citado en el que rige la directiva y en el futuro su norma de trasposición (aún no aprobada)–, con ciertas especialidades. Estas peculiaridades, aplicables a las operaciones de tratamiento efectuadas en el ejercicio de la función judicial, son la admisión del tratamiento de datos especialmente sensibles (art. 9.2.f en relación al 9.1 RGPD); exención del nombramiento obligatorio de un delegado de protección de datos (art. 37.1.a RGPD) y exclusión del ámbito de actuación de las autoridades de control (art. 55.3 RGPD).

Este tratamiento singular también se advierte en la Directiva 2016/680 -que
como hemos indicado se aplica al tratamiento efectuado por parte de las
autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública (art. 1.1)-. La directiva incluye en su ámbito el tratamiento efectuado con los fines que enumera por toda autoridad competente, incluyendo a “cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas” con esos fines. Sin embargo, también contiene especialidades cuando las operaciones sobre los datos se han efectuado por los tribunales y otras autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales [posibilidad de exención de la designación del delegado de protección de datos (art. 32.1 Directiva 2016/680) y delimitación del ámbito de actuación de la autoridad de control (art. 45 Directiva 2016/680)].

En este sentido, resulta igualmente significativo que el Reglamento 2018/1725 aplicable a las instituciones, órganos y organismos de la Unión, prevea una supervisión independiente del Tribunal de Justicia cuando actúe en ejercicio de su función judicial, manteniéndolo fuera del ámbito de competencia del Supervisor Europeo de Protección de Datos (art. 51.1); que se excluya de la aplicación del Reglamento a la Fiscalía Europea hasta que su Reglamento (1) se adapte (art. 2.3); que se exceptúe de la prohibición de tratamiento de los datos especialmente sensibles el realizado cuando sea necesario “para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia actúe en ejercicio de su función judicial” (art. 10.1 y 2.f ; o que admita ciertas limitaciones para la protección de la independencia judicial y de los procedimientos judiciales (arts. 25.1.e y 83).

A nivel nacional, la LOPDGDD en su ámbito de aplicación excluye las materias propias de la directiva -el tratamiento efectuado por parte de autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención- y menciona expresamente el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la oficina judicial, que “se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables” (art. 2.4). Más adelante, al regular el ámbito de la Agencia Española de Protección de Datos (en adelante, AEPD), deja claro que “cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del CGPJ” (art. 53.3).

Esta remisión se refiere al Capítulo I Bis del Título III del Libro III de la LOPJ
(arts. 236 bis a 236 decies), dedicado a la “protección de datos de carácter
personal en el ámbito de la Administración de Justicia” (2) que distingue entre el tratamiento de datos con fines jurisdiccionales o no jurisdiccionales. En el primer caso, el tratamiento se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional (art. 236 ter). La diferenciación es relevante, pues afecta a ciertos aspectos, como las medidas para su supresión y cesión (art. 236 quinquies); su responsable (art. 236 sexies); las normas sobre el ejercicio de los derechos de los interesados de acceso, rectificación, cancelación u oposición (art. 236 octies) o la competencia de la autoridad de control (art 236 nonies).

  • 4. La consideración del Ministerio Fiscal en la normativa de protección de datos

Como hemos visto, el RGPD no se refiere expresamente al tratamiento de
datos personales realizados por el MF; tampoco, en el ámbito nacional, la
parcialmente derogada LOPD ni la actual LOPDGDD mencionan al MF.

No obstante, resulta evidente que se encuentra sujeto a la normativa de
protección de datos, ya que el derecho a la protección de datos constituye,
sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, razón por la que vincula al MF, al igual que a otros poderes públicos (art 53 CE).

Por otro lado, debe partirse de su condición de “autoridad judicial
independiente” (considerandos 20 y 97 RGPD) a la vista de la naturaleza del
MF y de las funciones que constitucional y estatutariamente tiene
encomendadas.

Así, en el marco de la UE no ofrece dudas la consideración del MF como
“autoridad judicial”. Como ejemplos pueden citarse la consideración de quienes integran el MF como autoridad judicial en el Convenio Europeo de Asistencia Judicial en Materia Penal de 1959 o la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea. La propia Directiva 41/2014 del Parlamento Europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal, fija un concepto único de autoridad judicial que se define en el art. 2 c.i como: Juez, órgano jurisdiccional, juez de instrucción competente o fiscal competente en el asunto de que se trate (3).

Resulta también expresivo que la Directiva 2016/680 identifica a esas
autoridades judiciales con el MF al establecer que los Estados miembros
pueden disponer que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo, la fiscalía
(considerando 80 y art. 45.2).

En el mismo sentido, la LO 18/2011, de 5 de julio, reguladora del uso de las
tecnologías de la información y la comunicación en la Administración de
Justicia,
incluyó una disposición adicional novena sobre la “aplicación de la Ley al Ministerio Fiscal” indicando que “las referencias contenidas en el texto y articulado de la presente Ley a las oficinas judiciales, actividad judicial, juzgados y tribunales, sede judicial electrónica, órganos judiciales, expediente judicial electrónico, documento judicial electrónico, registro judicial electrónico y procedimiento judicial, serán de aplicación equivalente y se entenderán referidas igualmente a las oficinas fiscales, actividad fiscal, fiscalías, sedes fiscales electrónicas, expedientes fiscales electrónicos, registros fiscales electrónicos y procedimientos de cualquier tipo que se realicen y tramiten por el Ministerio Fiscal”.

Por tanto, al examinar el tratamiento de datos que efectúa el MF debe partirse de una diferenciación entre el tratamiento que se realiza en el ejercicio de su función jurisdiccional o cuasijurisdiccional y el que se lleva a cabo al margen de la anterior.

El tratamiento de datos con fines jurisdiccionales o cuasijurisdiccionales por parte del MF, previsto en la normativa orgánica y procesal, está orientado al cumplimiento de las funciones que el EOMF asigna al MF y se corresponde con su intervención en los correspondientes procesos incoados por los órganos judiciales en las distintas jurisdicciones, así como el ejercicio de determinadas funciones propias del MF y previstas en el EOMF.

Dentro de los tratamientos con fines jurisdiccionales o cuasijurisdiccionales
debemos distinguir las actuaciones que se realizan con fines de investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, que incluyen la intervención del MF en los procedimientos judiciales penales incoados, las diligencias de investigación o la tramitación del procedimiento previsto en la Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. Todas estas actuaciones encontrarían su marco en la Directiva (UE) 2016/680 y, hasta que no entre en vigor la norma que trasponga al derecho español la citada directiva, continúan rigiéndose por la LOPD, y en particular el art. 22, y sus disposiciones de desarrollo (D.A.4ª LOPDGDD).

Todas las demás actuaciones de naturaleza jurisdiccional no comprendidas en el párrafo anterior como, por ejemplo, la gestión procesal en los órdenes
jurisdiccionales civil, social o contencioso-administrativo; las actuaciones
preprocesales civiles, así como, en su caso, las actuaciones de naturaleza
tuitiva (listados de internos en centros y residencias de personas mayores y
personas con capacidad disminuida; registro de menores extranjeros no
acompañados, control y seguimiento de solicitudes de internamientos en CIEs, etc.), se desarrollan en el marco del RGPD y la LOPDGDD.

El tratamiento de datos con fines no jurisdiccionales que se efectúa en las
fiscalías se corresponde con la actuación derivada de expedientes
gubernativos, la gestión de personal relativa a la situación administrativa,
laboral y económica de fiscales y funcionarios, la agenda de la fiscalía, el
registro y control de visitas, etc. Este tratamiento de datos se somete a la
regulación del RGPD y la LOPDGDD.

La diferenciación es relevante, pues afecta a cuestiones como la autoridad de control (4) o las normas que rigen los derechos de los interesados (por ejemplo, el acceso o la cancelación de los datos).

  • 5. Consideraciones generales sobre el responsable de protección de
    datos

Como hemos mencionado, el responsable del tratamiento es un concepto
esencial en la actual normativa de protección de datos. Y ello, porque es
preciso asignar quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La definición del responsable permite además en ocasiones determinar el alcance del tratamiento, pues el art. 6 RGPD establece que este último sólo será lícito si el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.c y e RGPD). Desde la perspectiva de los objetivos de la regulación de la protección de datos, resulta imprescindible que se defina con claridad la responsabilidad del tratamiento para que la normativa se pueda aplicar de forma eficaz y efectiva.

5.1. El responsable del tratamiento de datos personales en la normativa
comunitaria.

El RGPD indica que el responsable del tratamiento es la persona física o
jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento
(art. 4.7 RGPD). Y añade que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. Referencias similares se contienen en la Directiva 2016/680 y Reglamento 2018/1725 (art. 3.8 de ambas normas).

El Grupo de Trabajo del art. 29 sobre Protección de Datos (5) (en adelante, GT 29), interpretando (6) la definición similar que se contenía en la derogada Directiva 95/46/CE (7), considera que el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal. Para los casos de duda, este GT 29 indica otros elementos que pueden ser de utilidad, como el grado de control real ejercido, la imagen dada a los interesados o las expectativas razonables de los interesados sobre la base de esta visibilidad. En definitiva, indica el GT, lo esencial es que el organismo designado tenga el control efectivo sobre las operaciones de tratamiento.

5.2. El responsable en la LOPDGDD

La LOPDGDD dispone: “Los responsables y encargados (8), teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable” (art. 28.1). Además, la LOPDGDD contiene algunas disposiciones que serían aplicables al MF como órgano de relevancia constitucional, como la publicación de un inventario de sus actividades de tratamiento (art. 31.2) o el régimen sancionador aplicable (art. 77).

  • 6. La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal

La normativa de protección de datos enumera los principios relativos al
tratamiento de datos personales, disponiendo que los mismos deberán ser
tratados de manera lícita, leal y transparente con el interesado; recogidos con fines determinados, explícitos y legítimos; adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; exactos y, si fuera necesario, actualizados; mantenidos de forma que se permita la identificación de los interesados únicamente durante el tiempo necesario para los fines del tratamiento de datos personales; y tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas -integridad y confidencialidad de los datos- (art. 5 RGPD). Y añade que el responsable del tratamiento será responsable del cumplimiento de los anteriores principios y capaz de demostrarlo (responsabilidad proactiva).

En el ámbito del MF, resulta preciso identificar al responsable del tratamiento de forma clara y unívoca, con el fin de que el cumplimiento de las normas de protección de datos y el ejercicio de dicho derecho se vea suficientemente garantizado; debiendo la aplicación de dichas normas, por otro lado, tener en cuenta la naturaleza y estructura del MF.

En nuestra legislación, no hay una asignación explícita de la responsabilidad del tratamiento al MF; sin embargo, esta puede deducirse siguiendo varios criterios.

Como hemos indicado, el RGPD indica que el responsable del tratamiento es el que determina los fines y medios del tratamiento.

En el caso del MF, los fines del tratamiento, es decir, por qué se realiza el
mismo, vienen determinados por las misiones constitucional y legalmente
asignadas (definidas en el art. 124 CE y en el EOMF) o por las obligaciones
que debe cumplimentar por el ejercicio de su actuación (por ejemplo, mantener un registro de los miembros del MF). Precisamente, de esta realidad se deriva que el fundamento del tratamiento que realiza el MF es “el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión” o el “cumplimiento de una obligación legal aplicable al responsable del tratamiento” (arts. 6 RGPD y 8.1 LOPDGDD).

La determinación de los medios supone, siguiendo las consideraciones del GT 29, decidir cómo se realizan las actividades de tratamiento. Los medios “no sólo se refieren a los medios técnicos para tratar los datos personales, sino también al “cómo” del tratamiento, que incluye preguntas como ¿qué datos deben tratarse?, ¿qué terceros deben tener acceso a estos datos? ¿cuándo deben borrarse los datos?, etc.”. En la determinación de los medios se incluyen, por tanto, preguntas técnicas y organizativas.

Sin embargo, la determinación de los medios no exige que el responsable
asuma la definición de todos los aspectos relativos a los mismos. Es posible
que varios agentes participen en ciertos aspectos, manteniendo el responsable su capacidad de organizar e influir en la forma en la que se tratan los datos personales. Ciertas cuestiones pueden delegarse por ejemplo en los encargados del tratamiento, reservándose a la determinación del responsable los aspectos esenciales.

Estas circunstancias están presentes en la actividad del MF, pues la
determinación de sus medios está condicionada al corresponder al Ministerio de Justicia o comunidades autónomas (en adelante, CCAA) el suministro de los medios materiales necesarios para su actividad. Además, aunque en la definición de las aplicaciones informáticas y en el diseño y configuración de las mismas (y, por tanto, en la determinación de ciertos aspectos sobre el tratamiento que a través de ellas se realiza) participa la Fiscalía General del Estado, a través de la Unidad de Apoyo, también interviene en la actualidad el Comité Técnico Estatal de la Administración Electrónica (CTEAJE) (9) y está supeditado al mencionado desarrollo y suministro de medios que deben efectuar el Ministerio de Justicia o las CCAA con competencias asumidas en materia de la administración de Justicia. Actualmente, doce CCAA han asumido las competencias en este ámbito.

Como criterio adicional para la identificación del responsable, ya se ha
mencionado que el RGPD dispone que “si el Derecho de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.

Conviene por ello examinar la normativa actual y los antecedentes en materia de determinación de los responsables de protección de datos en el ámbito del MF para identificar quién tiene capacidad de organizar el tratamiento que se efectúa en el ámbito del MF, examinando si la actual normativa indica las personas y/u organismos que deben asumir las responsabilidades, enfocando la cuestión desde el concepto funcional del responsable elaborado por el GT

  1. Y en este punto es imprescindible partir de la CE y el EOMF.

Como ya se ha indicado, el derecho a la protección de datos constituye, sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, que vincula al MF, al igual que a otros poderes públicos (art 53 CE), al tratarse de un órgano de relevancia constitucional con personalidad jurídica propia y que es único para todo el Estado, correspondiendo a la/el Fiscal General del Estado la jefatura superior, “impartiendo las órdenes e instrucciones convenientes al servicio y al orden interno de la institución y, en general, la dirección e inspección del Ministerio Fiscal” (art. 22.2 EOMF).

Esta capacidad organizativa incide tanto en las operaciones de tratamiento que se efectúan en las fiscalías mediante la confección de carpetillas o expedientes en papel, como en aquellas que se llevan a cabo utilizando determinadas aplicaciones informáticas y el soporte de las nuevas tecnologías.

En sus funciones de dirección y organización, la Fiscalía General imparte
instrucciones y circulares indicando pautas de obligado cumplimiento sobre el tratamiento de datos personales necesario para el ejercicio de determinadas funciones del MF. Basta citar como ejemplos la Instrucción 1/2012, de 29 de marzo, sobre la coordinación del registro de menores extranjeros no acompañados, que se refiere a los datos imprescindibles para poder dar de alta a un menor en el registro; la Circular 9/2011, de 16 de noviembre, sobre criterios para la unidad de actuación especializada del Ministerio Fiscal en materia de reforma de menores, que se refiere a la necesidad de consignar con claridad los datos relativos al menor o menores imputados en el parte de incoación del expediente que el fiscal remite al juzgado de menores; al deber de incorporar al expedir requisitorias los datos previstos en los modelos utilizados al efecto o a la prohibición de proporcionar a los medios ningún dato que permita reconocer al menor; la Instrucción 4/2008, de 30 de julio, sobre el control y vigilancia por el Ministerio Fiscal de las tutelas de personas discapaces, que para cumplimentar los deberes específicos de vigilancia y comprobación del estado personal y patrimonial de los tutelados recordaba la necesidad de creación de un sistema informático de almacenamiento de datos, y disponía los datos que se debían registrar en el sistema informático de cada fiscalía al incoar las diligencias preprocesales, observándose lo dispuesto en la legislación sobre protección de datos de carácter personal; la Instrucción 4/2005, de 15 de abril, sobre motivación por el Ministerio Fiscal de las peticiones solicitando la medida cautelar de prisión provisional o su modificación, que recordaba el deber de los fiscales de llevar en todo momento un registro personal de las causas con preso preventivo que les corresponda, así como de mantener las fiscalías un actualizado sistema de control de estas causas, al que se incorporan los datos de presos preventivos; la Instrucción 3/2005, de 7 de abril, sobre las relaciones del Ministerio Fiscal con los medios de comunicación que incide sobre el especial deber de vigilancia en la protección de los datos que permitan la identificación de menores; la Instrucción 1/2003, de 7 de abril, sobre aspectos organizativos de las Fiscalías y sus adscripciones con motivo de la reforma parcial de la Ley de Enjuiciamiento Criminal que recoge los datos que deben registrarse; o la Instrucción 2/2000, de 27 de diciembre, sobre aspectos organizativos de las secciones de menores de las Fiscalías ante la entrada en vigor de la LO 5/2000, de 12 de enero de Responsabilidad Penal de los Menores que indica los datos que deben constar en la carátula de las diligencias preliminares o del expediente.

Por otro lado, y en el ámbito del tratamiento que se realiza a través de las
nuevas tecnologías, el art. 230.1 LOPJ, después de disponer la obligación de las fiscalías de utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, puestos a su disposición para el desarrollo de su actividad y ejercicio de sus funciones (…), añade que las instrucciones generales o singulares de uso de las nuevas tecnologías que (…) la Fiscalía General del Estado dirijan a (…) los fiscales, respectivamente, determinando su utilización, serán de obligado cumplimiento. Una disposición similar se recoge en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia. Esta Ley dispone en su art. 8 que: “Los sistemas informáticos puestos al servicio de la Administración de Justicia serán de uso obligatorio en el desarrollo de la actividad de (…) las Fiscalías por parte de todos los integrantes de las mismas, conforme a los criterios e instrucciones de uso que dicten, en el ámbito de sus competencias, (…) la Fiscalía General del Estado (…)”.

Los antecedentes en el sector de las nuevas tecnologías también conducen a
la identificación del MF como responsable. Referida únicamente a ficheros
automatizados, la Instrucción 6/2001, de 21 de diciembre, sobre ficheros
automatizados de datos personales gestionados por el Ministerio Fiscal
,
estableció los ficheros de datos personales de los que se servirían los
correspondientes órganos y fiscalías que constituyen el MF para el
cumplimiento de sus funciones, y respecto al responsable indicaba “el MF, a través de las Fiscalías mencionadas en el Anexo II”. El Anexo II indicaba los ficheros que gestionaban cada una de las fiscalías, mencionando la Fiscalía General del Estado (en la que se incluía la Fiscalía del Tribunal Supremo); Fiscalía ante el Tribunal Constitucional; Fiscalía Especial contra la Corrupción y la Criminalidad Organizada; Fiscalía Especial Antidroga; Fiscalía de la AN; Fiscalías Territoriales.

De nuevo para el sector concreto de las nuevas tecnologías, la DA 2ª EOMF,
según redacción de la Ley Orgánica 19/2003 (10), dispone que el sistema de
información y la red integrada de comunicaciones electrónicas, plenamente integrados con el fin de asegurar su unidad de actuación, del MF “serán definidos y gestionados por los órganos competentes de la Fiscalía General del Estado” que “a estos efectos contarán con el soporte administrativo y tecnológico del Ministerio de Justicia”.

Y el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de
información del Ministerio Fiscal,
indica como responsable de aquel a la/el
Fiscal General del Estado y a cada fiscalía respecto del sistema de gestión
procesal.

Se identificaba así en esta normativa sectorial al MF como responsable de los ficheros, identificando a los órganos a través de los cuales actúa (“a través de las fiscalías”), de acuerdo con el art. 2 EOMF.

Se desprende así de los preceptos citados y estos antecedentes, que
corresponde al MF, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos. Esta asignación de la responsabilidad al organismo, que resulta del análisis de las competencias que al mismo corresponden, es además conforme con los criterios del Dictamen del GT 29, que parte de que en principio un organismo público es responsable de las actividades de tratamiento que tengan lugar dentro de sus actividades y riesgos. Esta determinación proporciona además a los interesados un ente de referencia estable para el ejercicio de sus derechos. Y es además coherente con el EOMF, que dispone que los miembros del MF actuarán siempre en representación de la Institución (art. 23 EOMF).

Por otro lado, la identificación del responsable de tratamiento está
interrelacionado con las normas que establecen la atribución de
responsabilidades o sanciones a que pueden estar sujetas las personas físicas o jurídicas.

Quien debe responder de la infracción de la protección de datos es siempre el responsable del tratamiento, y en este punto es ilustrativo que el MF está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional, que prevé que cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento, diferenciando así entre el responsable del tratamiento (en nuestro caso, el MF) que podría recibir el apercibimiento, el infractor de la normativa de protección de datos, y el cargo responsable, que podría ser amonestado, como más adelante se indica.

  • 7. Las obligaciones del Ministerio Fiscal en materia de protección de
    datos

7.1. Las obligaciones del Ministerio Fiscal como responsable del
tratamiento de datos personales.

Tal y como antes se ha apuntado, el art. 18.4 CE reconoce, como derecho
fundamental autónomo y específico, el derecho a la protección de datos
personales lo que, al igual que a otros poderes públicos, vincula al MF como órgano de relevancia constitucional con personalidad jurídica propia. El principio de responsabilidad proactiva implica que el MF, como responsable del tratamiento de datos, debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).

En consecuencia, el MF, en el estricto ámbito de sus competencias y
actuación, estará obligado a tratar los datos personales de las personas físicas de acuerdo con los principios que a continuación se exponen (art. 5, apartados 1 y 2 RGPD) y en condiciones de poder demostrar que se actúa conforme a ellos:

  • Licitud, lealtad y transparencia en relación con el interesado.
  • Limitación de la finalidad, lo que supone que deberán ser tratados con
    fines determinados, explícitos y legítimos, y que no podrán ser objeto de un tratamiento ulterior que sea incompatible con dichos fines.
  • Minimización de datos, lo que supone que serán tratados de manera
    adecuada, pertinente y limitada a lo necesario en relación con los fines del tratamiento.
  • Exactitud, lo que supone que, exclusivamente en el marco de las
    competencias propias del MF y en la medida de lo posible, se adopten
    las medidas razonables para que los datos personales tratados se
    mantengan actualizados, suprimiendo o rectificando aquellos datos que sean inexactos con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación, lo que supone que,
    exclusivamente en el marco de las competencias propias del MF y en la medida de lo posible, se adopten medidas razonables para que los datos personales sean mantenidos de forma que se permita la identificación de los interesados durante el tiempo estrictamente necesario para los fines del tratamiento.
  • Integridad y confidencialidad, lo que supone, exclusivamente en el marco de las competencias propias del MF, la adopción de medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento y acceso no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

7.2 Obligaciones de la Fiscalía General del Estado.

Para el cumplimiento de las obligaciones que dichos principios imponen al MF, la/el Fiscal General del Estado, al ostentar su jefatura superior y la máxima representación del MF (art. 13.1 y 22.2 EOMF), a través de los órganos y unidades competentes de la Fiscalía General del Estado, esencialmente deberá:

a) Adoptar las medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el
RGPD; dichas medidas deberán ser revisadas y actualizadas cuando
sea necesario (art 24.1 RGPD).

b) Adoptar las medidas técnicas y organizativas apropiadas a fin de
proteger los derechos de los interesados (art. 25.1 RGPD).

c) Establecer los mecanismos y procedimientos necesarios para facilitar a
los interesados el ejercicio de sus derechos proporcionando a los
mismos información concisa, transparente, inteligible y de fácil acceso,
para lo cual se elaborarán los correspondientes modelos o guías que se
pondrán a disposición de las fiscalías y del resto de órganos y unidades
del MF (art. 12 RGPD).

d) Promover, en el marco de las competencias del MF y en el ámbito de las
TIC, la implementación de las medidas técnicas precisas para la
protección de datos personales desde el diseño y por defecto, tanto en
el momento de determinar los medios de tratamiento como durante el
propio tratamiento (art. 25.1 RGPD).

e) Designar y cesar en los supuestos previstos al DPD del MF (art. 37.1
RGPD) así como comunicar su nombramiento y cese a la autoridad de
control (art. 37.7 RGPD).

f) Adoptar las medidas precisas para que el DPD pueda ejercer sus
funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):

  • Su participación de forma adecuada y en tiempo oportuno en todas
    las cuestiones relativas a la protección de datos personales.
  • Los recursos necesarios para el desempeño de dichas funciones y el
    acceso a los datos personales y a las operaciones de tratamiento, no
    pudiendo oponerse la existencia de deber de confidencialidad o
    secreto.
  • Los recursos precisos para el mantenimiento de sus conocimientos
    especializados.
  • La ausencia de conflicto de intereses en el supuesto de realizar otras
    funciones.
  • Que no reciba ninguna instrucción de las fiscalías u órganos fiscales
    en lo que respecta al ejercicio de sus funciones.
  • Que no sea destituido ni sancionado por desempeñar sus funciones,
    salvo en caso de dolo o negligencia grave.
  • La rendición de cuentas ante la/el Fiscal General del Estado, a cuyo
    fin el DPD del MF deberá presentar un plan anual de supervisión de
    fiscalías y órganos fiscales, de cuyo resultado el DPD habrá de darle
    oportuna cuenta.

g) Identificar las actividades de tratamiento, así como su finalidad y base
jurídica (art. 30 RGPD y art. 31.1 LOPDGDD) para lo cual se elaborarán
los correspondientes modelos o guías que se pondrán a disposición de
la fiscalías y órganos fiscales.

h) Mantener el registro de actividades de tratamiento del MF; remitirlo al
DPD del MF (art. 31.1 LOPDGDD); ponerlo a disposición de la autoridad
de control cuando esta lo solicite (art. 30.4 RGPD); y hacer público un
inventario de estas actividades accesible por medios electrónicos (art.
31.2 LOPDGDD).

i) Aplicar una política de protección de datos cuando resulte proporcionada
en relación con las actividades de tratamiento (art. 24.2 RGPD).

j) En relación al tratamiento que se efectúa a través de las nuevas
tecnologías, encomendar al encargado o encargados en el ámbito de
sus competencias del tratamiento la realización del correspondiente
análisis de riesgo de las actividades de tratamiento del MF y cooperar
con los mismos con la finalidad de establecer e implementar un nivel de
seguridad adecuado al riesgo (art. 32.1 RGPD).

k) Proceder, antes de realizar un nuevo tratamiento de datos, en particular
si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o
fines, sea probable que entrañe un alto riesgo para los derechos y
libertades de las personas físicas, a realizar una evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales
o encomendar su realización (art. 35.1 RGPD).

l) Reclamar al encargado o encargados de tratamiento, cuando lo estime
oportuno, la información necesaria para comprobar el cumplimiento de
las obligaciones que les impone el RGPD, así como, a esos efectos,
realizar auditorías, incluidas inspecciones (art. 28 h) RGPD).

m) Recibir la información sobre presuntos incidentes de violación de
seguridad, valorar y, en su caso, proceder a comunicar el incidente a la
autoridad de control y al interesado (arts. 33.1 y 34.3 RGPD).

n) Cooperar con la autoridad de control en el desempeño de sus funciones
(art. 31 RGPD).

o) Documentar en el correspondiente o correspondientes expedientes
gubernativos de los órganos o unidades competentes de la Fiscalía
General del Estado las medidas y actuaciones realizadas (24.1 RGPD).

p) Promover la concienciación y formación de funcionarios y fiscales en
materia de protección de datos personales.

Corresponde a cada una de las unidades y órganos de la Fiscalía General del
Estado el cumplimiento de estas obligaciones, de acuerdo con sus propias
competencias.

Como consecuencia de las especificas funciones que, en virtud del art. 13.4
EOMF, tiene asignada la Unidad de Apoyo de la Fiscalía General del Estado,
de entre las anteriormente mencionadas, particularmente le corresponderá:

a) Promover y participar, en el marco de las competencias del MF, a través
de su participación en el Comité Técnico Estatal de la Administración
Judicial Electrónica (CTEAJE) y de acuerdo con las previsiones de la
Ley 18/2011 y la normativa correspondiente en el ámbito de las TIC, en
la implementación de las medidas técnicas precisas para la protección
de datos personales desde el diseño y por defecto, tanto en el momento
de determinar los medios como en el momento del propio tratamiento
(art. 25.1 RGPD).

b) Participar en la adopción de las medidas técnicas apropiadas a fin de
proteger los derechos de los interesados (art. 25.1 RGPD).

c) Convenir con el encargado o encargados del tratamiento la adopción de
mecanismos visibles accesibles y sencillos, incluidos los electrónicos,
para facilitar a los interesados el ejercicio de sus derechos (art. 12
RGPD).

d) Proporcionar a las fiscalías y órganos fiscales los correspondientes
modelos o guías de información de derechos a los interesados.

e) Recabar las actividades de tratamiento realizadas por distintas fiscalías y
órganos fiscales con el fin de identificar las actividades de tratamiento
del MF, facilitando previamente, y a esos efectos, los correspondientes
modelos o guías que hayan sido establecidos por la Fiscalía General del
Estado.

f) Elaborar e identificar, con asesoramiento del DPD del MF, el registro de
actividades de tratamiento del MF, así como su finalidad y base jurídica
y remitir al mismo cualquier adición, modificación o exclusión (art. 31.1
LOPDGDD).

g) Mantener actualizado el registro de actividades de tratamiento del MF y
ponerlo a disposición de la autoridad de control cuando esta lo solicite
(art. 30.4 RGPD).

h) Hacer público por medios electrónicos el inventario de actividades de
tratamiento (art. 31.2 LOPDGDD).

i) En el ámbito de las nuevas tecnologías, encomendar al encargado o
encargados del tratamiento la realización del correspondiente análisis de
riesgo de las actividades de tratamiento del MF y cooperar con los
mismos con la finalidad de establecer e implementar un nivel de
seguridad adecuado al riesgo (art. 32.1 RGPD).

Para dicha actuación se deberá contar con la participación de la jefatura
de la fiscalía u órgano fiscal o un representante del mismo y, en su caso
y de afectar a una fiscalía territorial, con la participación de los fiscales
responsables del Servicio de Información del Ministerio Fiscal (SIMF) y
del fiscal superior de la respectiva comunidad autónoma, comunicando
todas las actuaciones al DPD o al adjunto territorialmente competente.

j) Proceder, antes de realizar un nuevo tratamiento de datos, en particular
si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o
fines, sea probable que entrañe un alto riesgo para los derechos y
libertades de las personas físicas, a realizar una evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales
o encomendar su realización (art. 35.1 RGPD).

k) Reclamar al encargado o encargados de tratamiento, cuando lo estime
oportuno, la información necesaria para comprobar el cumplimiento de
las obligaciones que les impone el RGPD respecto de los responsables,
así como, a esos efectos, realizar auditorías (art. 28.3.h RGPD) para lo
cual se deberá recabar, en su caso y de afectar a una fiscalía territorial,
la colaboración de los fiscales del SIMF y del fiscal superior de la
respectiva comunidad autónoma.

l) Recibir la información sobre presuntos incidentes de violación de
seguridad y comunicar los mismos a la autoridad de control, así como al
interesado, en el supuesto de que por la/el Fiscal General del Estado así
haya sido decidido (arts. 33.1 y 34.3 RGPD).

m) Comunicar a la autoridad de control el nombramiento y cese del DPD del
MF (art. 37.7 RGPD y 34.3 LOPDGDD).

n) Cooperar, en el ámbito de sus funciones, con la autoridad de control (art.
31 RGPD).

o) Adoptar las medidas precisas para que el DPD pueda ejercer sus
funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):

  • Su participación de forma adecuada y en tiempo oportuno en todas
    las cuestiones relativas a la protección de datos personales.
  • Los recursos necesarios para el desempeño de dichas funciones y el
    acceso a los datos personales y a las operaciones de tratamiento no
    pudiendo oponerse la existencia de deber de confidencialidad o
    secreto.
  • Divulgar en el ámbito del MF el conocimiento de la figura del DPD
    del MF, posición y funciones.

7.3. Obligaciones de las fiscalías, unidades y de los demás órganos del
Ministerio Fiscal.

La determinación del MF como responsable del tratamiento supone que las
obligaciones que le impone la normativa de protección de datos se ejercen
también a través de las jefaturas de los órganos fiscales, unidades y fiscalías que llevan a cabo actividades de tratamiento (ya sean comunes a todos los órganos y fiscalías o especificas por la especial función que desarrollan) puesto que su dirección y organización se ejerce en representación del MF (arts. 2.1 y 22 EOMF).

Por tanto, estas obligaciones incumben a las unidades que integran la Fiscalía General del Estado (Unidad de Apoyo, Secretaría Técnica, Inspección Fiscal y Unidades Especializadas), a la Fiscalía del Tribunal Supremo, a la Fiscalía ante el Tribunal Constitucional, a la Fiscalía de la Audiencia Nacional, a las Fiscalías Especiales (Fiscalía Antidroga y Fiscalía contra la Corrupción y la Criminalidad Organizada), a la Fiscalía del Tribunal de Cuentas, a la Fiscalía Jurídico Militar, a las Fiscalías de las CCAA, a las Fiscalías Provinciales y a las Fiscalías de Área.

En virtud de ello, corresponde a las jefaturas de las referidas unidades, órganos y fiscalías, dentro del exclusivo ámbito de sus competencias organizativas y de dirección, adoptar las medidas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, así como la adecuada protección de los derechos de los interesados y de su ejercicio por parte de los mismos, para lo cual podrán contar con el asesoramiento del DPD del MF o el adjunto del DPD que corresponda, debiendo:

a) Documentar en el correspondiente expediente gubernativo todas las
actuaciones que se realicen para la implementación de la normativa de
protección de datos.

Dicho expediente se iniciará con el correspondiente decreto y al mismo
se habrán de incorporar las instrucciones y comunicaciones remitidas
por la Fiscalía General del Estado en materia de protección de datos; la
descripción de las actividades de tratamiento realizadas por el
correspondiente órgano fiscal o fiscalía, así como sus sucesivas
modificaciones; las actuaciones acordadas; notas de servicio dirigidas a
fiscales y plantilla de funcionarios; comunicaciones al Ministerio de
Justicia o a los órganos de las CCAA con competencias transferidas en
materia de justicia sobre medios materiales o tecnológicos para
salvaguardar la protección de datos; comunicaciones dirigidas a la
Fiscalía General del Estado; incidencias y la constancia de las
reclamaciones de los interesados, que serán tramitadas en expedientes
individualizados y separados; etc.

b) Colaborar en la elaboración del registro de actividades de tratamiento del
MF de conformidad con lo dispuesto en el RGPD y siguiendo las pautas
marcadas por la Fiscalía General del Estado.

c) Mantener actualizado la descripción del registro de actividades de
tratamiento propio del correspondiente órgano fiscal o fiscalía y ponerlo
a disposición de la autoridad de control cuando esta lo solicite.

d) Identificar los medios materiales y/o tecnológicos que, en su caso,
resulten necesarios para salvaguardar el derecho a la protección de
datos (necesidad de armarios con llave, solicitud de memorias USB
encriptadas, etc.) y solicitarlos, bien directamente en el caso de las
jefaturas territoriales, bien a través de la Unidad de Apoyo de la Fiscalía
General del Estado en el caso del resto de unidades y órganos.

e) Comunicar a la plantilla de fiscales y funcionarios las pautas de
seguridad que los correspondientes encargados de tratamiento, como
proveedores de los medios y aplicaciones informáticas, hayan
establecido para su utilización.

f) Dictar instrucciones dirigidas a los fiscales y a la plantilla de funcionarios
con el fin de concienciar en la cultura de protección de datos y de instar
a su cumplimiento, así como promover medidas básicas a ese fin, entre
las que se encuentran las siguientes:

  • Utilización en los equipos informáticos de usuario y contraseña de
    uso personal y no compartido.
  • Cerciorarse del bloqueo o cierre de sesión en el equipo informático
    antes de abandonar el puesto de trabajo.
  • Encriptación de los dispositivos de memoria USB que se utilicen.
  • No abrir archivos o enlaces adjuntos que puedan acompañar a
    correos electrónicos remitidos por fuentes desconocidas.
  • Cumplimiento de las indicaciones establecidas para el teletrabajo por
    medio de VPN (Red Privada Virtual).
  • Exigencia de la debida custodia de documentos, carpetillas,
    procedimientos y expedientes.
  • Implantación de actuaciones y adopción de medidas dirigidas a
    impedir que queden a la vista o a disposición de personal no
    autorizado documentos que contengan datos personales.
  • Destrucción de forma segura de documentos y dispositivos en
    desuso utilizando, para la documentación en soporte papel, las
    destructoras o contenedores cerrados previstos al efecto.
  • Obligación de comunicar a sus superiores jerárquicos cualquier
    incidente de seguridad con riesgo para datos personales del que
    hayan tenido conocimiento o hayan sido protagonistas (pérdida de
    documentación, móviles, memorias USB, ordenador, etc.).

g) Cuando los datos personales hayan sido obtenidos del propio interesado
se deberá facilitar el ejercicio de sus derechos proporcionando a los
mismos información concisa, transparente, inteligible y de fácil acceso,
utilizando el correspondiente impreso que haya sido proporcionado por
la Fiscalía General del Estado en el que además de los generales se
incluyan los datos singulares de la fiscalía u órgano del MF. Ese impreso
podría ser colocado en un lugar visible o, de realizarse en la página web
de atención al ciudadano de la Fiscalía General del Estado, mediante un
enlace que dé acceso al mismo o, en caso de recibirse por correo
electrónico, mediante un pie de firma en el acuse de recibo.

h) Cuando el interesado presente una solicitud para el ejercicio de sus
derechos en virtud de la normativa de protección de datos, deberán
informar al interesado sobre las actuaciones derivadas de su petición en
el plazo de un mes a partir de la recepción de la solicitud (en el caso de
solicitudes especialmente complejas, este plazo puede extenderse dos
meses más, notificando esta ampliación dentro del primer mes). Cuando
el interesado presente la solicitud por medios electrónicos, la
información se facilitará por medios electrónicos cuando sea posible, a
menos que el interesado solicite que se le facilite de otro modo.

En este aspecto resulta relevante señalar, por un lado, que para el
ejercicio de dichos derechos resulta indispensable que el solicitante
acredite su identidad, pudiendo utilizarse todas las medidas razonables
para verificar la misma, en particular en el contexto de los servicios en
línea (considerando 64 RGPD).

Por otro lado, en el supuesto de que se trate de solicitudes de derechos
relativos a datos derivados de procedimientos judiciales, estas
solicitudes se tramitarán conforme a las normas que resulten de
aplicación al correspondiente proceso judicial en el que fueron
recabados, razón por la que habrá de indicarse a los interesados que se
carece de competencia para ello e informar a los mismos que podrán
efectuar la solicitud ante los correspondientes órganos judiciales (art.
236 octies 1 LOPJ). La normativa sobre los procedimientos judiciales se
aplicará, por analogía, en el caso de que los datos sean tratados en
expedientes o diligencias preprocesales tramitadas por el MF en cuyo
seno deberán ejercerse los correspondientes derechos relativos a la
protección de datos personales.

Las resoluciones relativas a las solicitudes que se formulen deberán
estar siempre debidamente motivadas, debiendo indicarse al interesado,
en caso de no dar curso a la misma, que podrá dirigirse al DPD del MF,
antes de formular reclamación ante la autoridad de control o de ejercitar
acciones judiciales.

i) En caso de que se produzca, en el estricto ámbito de competencias de la
jefatura del órgano fiscal o fiscalía, cualquier incidente que ocasione la
destrucción, pérdida o alteración accidental o ilícita de los datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizado a dichos datos, debe notificarlo sin
dilación al DPD del MF o adjunto del DPD y a la Fiscalía General del
Estado.

j) Respetar las funciones del DPD del MF y de los adjuntos del DPD del
MF garantizando su participación de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos
personales; facilitando los medios necesarios para el desempeño de
dichas funciones y el acceso a los datos personales y a las operaciones
de tratamiento no pudiendo oponerse la existencia de deber de
confidencialidad o secreto, y absteniéndose de dar instrucciones al DPD
del MF y a los adjuntos del DPD del MF en el ejercicio de sus funciones.

k) Cooperar con la autoridad de control en el desempeño de sus funciones.

7.4. Obligaciones de todos/as los/las fiscales

Las exigencias que impone la normativa de protección de datos se extienden tanto a quienes integran el MF como a la plantilla de funcionarios que prestan servicio en las distintas fiscalías y órganos fiscales. En consecuencia, para evitar posibles riesgos y brechas que puedan generar incidentes de seguridad, todos ellos están obligados a conocer y cumplir las normas, procedimientos, e instrucciones impartidas en materia de protección de datos.

Entre estas obligaciones destacan, además de las medidas básicas ya
indicadas en la letra f) del apartado anterior, el deber de respetar la
confidencialidad de los datos personales tratados, el cumplimiento de la
normativa e instrucciones sobre protección de datos recibidas (art. 29 RGPD) y su participación en actividades formativas.

7.5. Régimen sancionador

Como hemos indicado, el MF, como órgano responsable del tratamiento de
datos personales
, está sujeto al régimen sancionador especial previsto en el
art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia
constitucional.

Según dispone este artículo, cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los arts. 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. Y ello, sin perjuicio de que “la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello (…) y cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda”.

Se parte así de una diferenciación importante entre el responsable del
tratamiento
(en nuestro caso, el MF) que podría recibir la sanción prevista en la LOPDGDD (el apercibimiento); el infractor de la normativa de protección de datos, sobre el que se podrían iniciar actuaciones disciplinarias; y la autoridad y directivo que, como cargo responsable, cuando las infracciones le sean imputables por la desatención de los informes técnicos o recomendaciones para el tratamiento, podría recibir una amonestación que se publicaría en el BOE o autonómico que corresponda.

Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.

  • 8. La figura del Delegado de Protección de Datos

8.1. Consideraciones generales

La actual normativa de protección de datos dedica una especial atención al
Delegado de Protección de Datos (DPD) (11), figura que articula con la función de supervisar y asesorar al responsable y empleados; supervisar el cumplimiento del RGPD; actuar como punto de contacto de la autoridad de control y cooperar con ella.

En relación a su designación, el RGPD dispone la obligación del responsable
de designar un DPD, siempre que el tratamiento de datos de carácter personal lo lleve a cabo una autoridad u organismo público, “excepto los tribunales que actúen en el ejercicio de su función judicial” (art. 37.1). En este último caso, se puede designar un DPD o se deberá designar si lo exige el derecho de la Unión o de los Estados miembros. Sobre su nombramiento, el art. 37.3 indica que cuando el responsable es una autoridad u organismo público, se puede designar un único DPD para varias autoridades, teniendo en cuenta su organización y tamaño.

Según el art. 32 de la Directiva 2016/680 (aún no transpuesta): “Los Estados
miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos. Los Estados miembros podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales.

2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para desempeñar las funciones contempladas en el artículo 34. 3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes teniendo en cuenta la estructura organizativa y tamaño de estas. (…)”.

La LOPDGDD permite que el DPD sea tanto una persona física como una
persona jurídica (art. 35 LOPDGDD) y dispone que los responsables deben
designar un DPD en los supuestos previstos en el art. 37.1 RGPD, sin incluir al MF ni a los Tribunales cuando actúan en el ejercicio de su función judicial entre las entidades que, en todo caso, deben designar un DPD (art. 34.1 LOPDGDD); y dispone que el resto de entidades no mencionadas podrá
designar de manera voluntaria un DPD (art. 34.2 LOPDGDD).

El nombramiento del DPD debe efectuarse en atención a sus conocimientos
(art. 37.5 RGPD). El DPD puede formar parte de la plantilla del responsable,
aunque no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento. Lo que resulta fundamental es que en todo caso el DPD tenga asegurada su independencia respecto del responsable.

A propósito de este artículo, las Directrices sobre los delegados de protección de datos (DPD) del GT 29 (12) indican que se podrá designar un único DPD para varias autoridades y organismos públicos, teniendo en cuenta su estructura organizativa y tamaño y con la ayuda de un equipo si fuera necesario, bajo la responsabilidad de un contacto principal y siempre que se distribuyan de manera clara las tareas dentro del equipo del DPD externo y se asigne una única persona como contacto principal. Por otro lado, y comentando las posibilidades de destitución o sanción por el desempeño de las funciones del DPD, las Directrices valoran positivamente que “cuanto más estable sea el contrato del DPD y más garantías existan contra el despido improcedente, más probabilidades habrá de que el DPD pueda actuar con independencia”.

8.2. El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal

Las anteriores previsiones deben ser examinadas a la luz de las funciones del MF, su organización, su estructura jerarquizada, y los distintos ámbitos en los que se desenvuelve su actividad. En este contexto se plantea la necesidad de una reflexión detenida sobre la mejor forma de articulación de la figura del DPD en el ámbito del MF.

8.2.1. Ámbito de actuación

La primera cuestión que se plantea es la definición de su ámbito de actuación.
De acuerdo con la legislación, únicamente resultaría obligatorio el
nombramiento del DPD para el tratamiento de datos efectuado en el ámbito del MF con fines no jurisdiccionales.

Sin embargo, la mayor parte de la actuación del MF se efectúa en el ámbito
jurisdiccional o cuasijurisdiccional, por lo que los principios de unidad de
actuación y dependencia jerárquica que rigen la actuación del MF, apuntan a la conveniencia de que el DPD en el ámbito del MF incluya en su actuación sus funciones de asesoramiento y supervisión en el ámbito de las funciones jurisdiccionales o cuasijurisdiccionales. Ello permitirá asegurar el mejor asesoramiento en materia de protección de datos en la actividad cotidiana del MF y en las cuestiones que surjan sobre la materia, lo que sin duda redundará en el mejor cumplimiento por el MF de sus obligaciones.

Este planteamiento permitirá, por otro lado, que los afectados puedan, con
carácter previo a presentar una reclamación ante la autoridad de control,
dirigirse al DPD del MF en relación a todos los tratamientos que efectúa el MF (art. 37.1 LOPDGDD). Y en el caso de que un afectado presente una
reclamación ante la autoridad de control, el DPD del MF podrá formular
alegaciones si se le da traslado de la misma (art. 37.2 LOPDGDD).

8.2.2. Estructura

En segundo lugar, conviene analizar las distintas opciones sobre su
articulación, cuestión que debe abordarse desde la perspectiva de las
funciones asignadas, que han de ser ejercidas garantizando su independencia: supervisar y asesorar sobre el cumplimiento de la normativa de protección de datos y actuar como punto de contacto de la autoridad de control y cooperar con ella, entre otras competencias.

En este contexto se plantea si resultaría conveniente el nombramiento de un solo DPD para todo el MF, una estructura de varios delegados de protección de datos con ámbitos de actuación específicos y diferenciados, o un único DPD para todo el MF asistido de una red de adjuntos del DPD.

Esta última opción resulta la más conveniente a fin de asegurar los principios que rigen la actuación del MF, unidad de actuación y dependencia jerárquica, al mismo tiempo que permite atender con mayor facilidad las singularidades y necesidades de las distintas fiscalías.

Esta configuración resulta además necesaria, porque la unidad de actuación del MF y la debida articulación de sus relaciones con otras entidades exige la definición de una estructura que permita el ejercicio de las funciones del DPD en el ámbito del MF, salvaguardando en todo caso su debida independencia y de acuerdo con la normativa.

Debe tenerse en cuenta que en otras administraciones puede plantearse una distribución del ámbito de actuación entre distintos DPD nombrados, de forma que cada uno de ellos asesore y supervise a distintos responsables que llevan a cabo distintos tratamientos de datos. Sin embargo, en el ámbito del MF, las fiscalías territoriales realizan diversas operaciones que forman parte del tratamiento de datos del MF, por lo que carecería de sentido que distintos DPD pudiesen informar de manera distinta un mismo tratamiento de datos personales.

A ello se une que si el DPD “rinde cuentas directamente al más alto nivel
jerárquico del responsable” (art. 38.3 RGPD), tiene entre sus funciones
“supervisar el cumplimiento de la normativa de protección de datos y políticas del responsable en materia de protección de datos” (art. 39.1.b) RGPD), y “cuando aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable del tratamiento” (art. 36.1 LOPDGDD), resulta razonable una configuración que sitúe un DPD del MF “general” para toda la actuación del MF y que rinda cuentas ante el/la Fiscal General del Estado, quien ostenta la jefatura del MF, y ello sin perjuicio de configurar un equipo de apoyo al mismo.

Por otro lado, el DPD actúa como interlocutor del responsable ante la autoridad de control (art. 39.1.e RGPD), por lo que resulta conveniente mantener un único punto de contacto ante la misma.

Teniendo en cuenta todo lo anterior, la estructura del MF, su organización, la necesidad de una actuación uniforme (adaptada a las circunstancias de cada fiscalía) y la movilidad entre fiscalías de los miembros de la carrera fiscal, se estima conveniente la designación de un DPD del MF, que ejercerá sus funciones en relación a la actuación del MF.

No obstante, el DPD del MF deberá estar asistido por una red de adjuntos del DPD del MF que, bajo el principio de jerarquía, colaboren con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto territorial del DPD en el ámbito de cada una de las CCAA.

8.2.3. El Delegado de Protección de Datos del Ministerio Fiscal

8.2.3.1. Ámbito de actuación

Las funciones del DPD del MF se extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas.

8.2.3.2. Requisitos

De acuerdo con el RGPD, el DPD debe ser designado atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones previstas en el RGPD (art. 37.5 RGPD).

En relación al nivel de conocimientos requerido, el GT 29 subraya que el mismo no está definido estrictamente, pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata. Seguidamente añade que, aunque el artículo 37.5 RGPD no especifica las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, hay ciertos factores importantes a valorar: que tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD; conocimiento de la organización del responsable del tratamiento; buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento; y, en el caso de autoridades u organismos públicos, un conocimiento sólido de las normas y procedimientos administrativos de la organización.

El DPD puede formar parte de la plantilla del responsable (art. 37.5 RGPD),
pero no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento y debe evitarse el conflicto de intereses (art. 36.2 LOPDGDD).

Es preciso determinar qué cargos en la organización del MF podrían presentar un conflicto de intereses, al participar, en el ámbito de sus competencias, en la organización del tratamiento de datos que se realiza en cada fiscalía, siempre por cuenta del MF como institución. Resulta sobre este aspecto ilustrativo que el documento elaborado por la AEPD sobre el “DPD en las Administraciones Públicas” indica que, si el DPD compagina sus funciones con otras, “debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información)”.

Teniendo en cuenta sus funciones de dirección, no podrán presentarse a la
convocatoria los/as fiscales jefes. Tampoco podrán ser candidatos los/as
tenientes fiscales, a quienes corresponde “asumir las funciones de dirección o coordinación que le delegue el Fiscal Jefe, y sustituir a éste en caso de ausencia, vacante o imposibilidad” (art. 22.6 EOMF). En el caso de otros fiscales que desempeñen funciones organizativas por delegación de la jefatura, deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.

Tampoco podrán presentarse a la convocatoria los fiscales destinados en la
Secretaría Técnica o en la Unidad de Apoyo de la Fiscalía General del Estado, teniendo en cuenta respectivamente las funciones de estas unidades en el asesoramiento a la/al Fiscal General del Estado y en la organización del tratamiento de datos, especialmente en el que se efectúa a través de las
nuevas tecnologías.

Resultará asimismo incompatible el ejercicio de las funciones de DPD del MF por los miembros del Consejo Fiscal, ante la posibilidad de conflicto de
intereses con el desempeño de las funciones previstas en el art. 14.cuatro
EOMF.

Tampoco resulta compatible el desempeño de las funciones del DPD del MF
por los fiscales responsables SIMF dadas sus atribuciones de control y fomento del buen uso y aprovechamiento de las aplicaciones de gestión procesal y los sistemas de información y comunicaciones electrónicas, impulsando su utilización, transmitiendo a la Unidad de Apoyo las necesidades de formación y posibles deficiencias que detecten o incidencias que se produzcan (13). Por ello, con el fin de salvaguardar la independencia requerida al DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.

En todo caso y con carácter general, con carácter previo al nombramiento del DPD del MF deberán examinarse qué concretas funciones desempeña como fiscal el candidato, las cuales, en su caso, deberá compatibilizar con el
cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de
intereses.

8.2.3.3. Convocatoria, procedimiento de selección y nombramiento

Para la cobertura del DPD del MF, el/la Fiscal General del Estado dirigirá una convocatoria a todos los fiscales de la plantilla, mencionando las
incompatibilidades descritas en el apartado anterior.

Los aspirantes deberán presentar en el plazo fijado en la convocatoria su
curriculum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.

La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.

El DPD del MF será nombrado y, en su caso, relevado mediante decreto de
la/el Fiscal General del Estado, oído el Consejo Fiscal (art. 14.cuatro EOMF). El nombramiento deberá ser comunicado a la autoridad de control.

El nombramiento del DPD del MF se efectuará por el/la Fiscal General del
Estado, que ostenta la jefatura del MF (art. 22.2 EOMF); designación que
además resulta coherente con la rendición de cuentas directa del DPD al más alto nivel jerárquico (art. 38.3 RGPD).

8.2.3.4. Funciones del Delegado de Protección de Datos del Ministerio
Fiscal

Son funciones del DPD del MF las previstas en el RGPD y en el resto de
normativa que resulte de aplicación, entre las que cabe destacar en particular:

  • Informar y asesorar a los órganos y unidades del MF y a los fiscales que realicen operaciones de tratamiento de datos personales de las
    obligaciones que les incumben en materia de protección de datos. En
    concreto, corresponde al DPD para el MF el asesoramiento y
    supervisión directos de las unidades de la Fiscalía General del Estado
    (Inspección Fiscal, Secretaría Técnica, Unidad de Apoyo y Unidades
    Especializadas), la Fiscalía del Tribunal Supremo, la Fiscalía ante el
    Tribunal Constitucional, la Fiscalía de la Audiencia Nacional, las
    Fiscalías especiales (Fiscalía contra la Corrupción y la Criminalidad
    Organizada y Fiscalía Antidroga), la Fiscalía del Tribunal de Cuentas y la Fiscalía Jurídico Militar. Ello sin perjuicio de la posibilidad de su
    asesoramiento y supervisión a las fiscalías territoriales, si resulta
    necesario.
  • Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF, incluida la asignación de responsabilidades, la
    concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones
    de impacto relativas a la protección de datos y supervisar su aplicación.
  • Cooperar con la autoridad de control (art. 39.1.d) RGPD).
  • Supervisar los procedimientos o expedientes relacionados con la
    protección de datos y emitir recomendaciones en el ámbito de sus
    competencias.
  • Rendir cuentas ante la/el Fiscal General del Estado (art. 38.3 RGPD).
    Además, cuando el DPD del MF aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y comunicará inmediatamente a la/al Fiscal General del Estado (art. 36.4 LOPDGDD).
  • Intervenir en caso de reclamación (art. 37 LOPDGDD).
  • Constituir el punto de contacto del MF en cuestiones relativas al
    tratamiento de datos personales con respecto a los interesados y
    terceros.
  • Actuar como interlocutor del MF ante la autoridad de control, tanto para las reclamaciones como para la posible formulación de consultas por terceros.
  • Coordinar la actuación de los adjuntos del DPD del MF, estableciendo
    los criterios e instrucciones que considere necesarios para la actuación homogénea y coordinada de los distintos adjuntos del DPD, asegurando la unidad de criterio y dando cuenta a la/al Fiscal General del Estado.
  • El DPD podrá dictar las recomendaciones sobre la actuación del MF en
    sus distintos ámbitos que considere precisas para el debido
    cumplimiento de las funciones que tiene encomendadas por la normativa de protección de datos.
  • Mantener una relación actualizada de los adjuntos del DPD del MF.
  • Realizar consultas a la autoridad de control (art. 39.1.e RGPD).
  • Informar las candidaturas de los adjuntos del DPD y, en su caso, el cese de los mismos (salvo cuando el cese se produzca por el transcurso del plazo de duración del nombramiento o el cambio de destino).
  • Acordar las sustituciones en el ejercicio de las funciones de los adjuntos del DPD, cuando resulte necesario por razones de ausencia, vacante o enfermedad.
  • Informar el inventario de actividades antes de su publicación.

Asimismo, el DPD del MF podrá llevar a cabo aquellas otras actividades de
información, coordinación, supervisión, formación o consulta que, en materia de protección de datos, considere procedentes para el debido cumplimiento de esta normativa en el ámbito del MF.

En todas sus actuaciones, el DPD está obligado a mantener el secreto o la
confidencialidad (art. 38.5 RGPD).

8.2.3.5. Desempeño de sus funciones

El MF, como responsable del tratamiento de datos personales debe garantizar que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos” (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).

Por ello, el nombramiento del DPD del MF no supone necesariamente
exclusividad. En todo caso, deberá garantizarse la posibilidad efectiva de
dedicación para el cumplimiento de sus funciones y contará con los recursos necesarios para el desarrollo de las mismas, el acceso a los datos personales y a las operaciones de tratamiento y el mantenimiento de sus conocimientos especializados.

A fin de garantizar la independencia en el desempeño de sus funciones, la
designación del DPD del MF será por un periodo de 5 años. Transcurrido el
plazo de duración, o en el caso de cese anticipado por alguna de las causas
previstas, se efectuará una nueva convocatoria. El fiscal previamente
designado podrá optar a sucesivos nombramientos sin límite de convocatorias.

8.2.3.6. Causas de cese

De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).

La introducción de causas objetivas de cese constituye la garantía de
independencia de los DPD. Son causas de cese del DPD del MF:

  • La apreciación de dolo o negligencia grave en el ejercicio de sus
    funciones.
  • El nombramiento para un cargo incompatible con el desempeño de las
    funciones del DPD del MF, por la posible concurrencia de un conflicto de intereses.
  • La renuncia voluntaria presentada por el interesado y aceptada por el/la Fiscal General del Estado.
  • El transcurso del plazo de nombramiento, salvo que sea designado para un nuevo periodo. En todo caso, deberá permanecer en funciones hasta la renovación o designación de un nuevo DPD del MF.

En el caso de que concurra una causa de cese, el DPD del MF será relevado
mediante resolución de la/el Fiscal General del Estado. En todo caso, se
garantizará la audiencia del interesado cuyo relevo vaya a ser propuesto.

8.2.3.7. Régimen transitorio

En el plazo de 3 meses desde la aprobación de esta instrucción deberá
procederse a la convocatoria y designación del DPD del MF.

Hasta el nombramiento del DPD del MF por el/la Fiscal General del Estado de acuerdo con la presente instrucción, el actual DPD del MF seguirá ejerciendo sus funciones.

8.2.4. Adjuntos del Delegado de Protección de Datos del MF

Los adjuntos del DPD del MF actuarán bajo la dirección y coordinación del DPD del MF, dentro del ámbito de competencias que a este último atribuye el RGPD.

8.2.4.1. Ámbito de actuación

Los adjuntos del DPD desempeñarán sus funciones en relación a la actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas, en el ámbito de la comunidad autónoma en la que estén destinados, sin perjuicio de la posibilidad de sustituirse entre ellos en los casos de vacante, ausencia o enfermedad y de acuerdo con las instrucciones del DPD del MF.

8.2.4.2. Requisitos

De forma similar al DPD del MF, los adjuntos del DPD del MF (art. 37.5 RGPD) serán designados atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones (art. 37.5 RGPD). Resultan lógicamente aquí aplicables las consideraciones del GT29 sobre los conocimientos a valorar mencionados en el apartado correspondiente al DPD del MF.

Para evitar la posibilidad de conflicto de intereses (art. 36.2 LOPDGDD), los
adjuntos del DPD del MF no pueden ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento.

Por ello, no podrán presentarse a las convocatorias quienes ostenten una
jefatura, ni los/las tenientes fiscales, ni los miembros del Consejo Fiscal. En el caso de otros fiscales que desempeñen funciones por delegación de quien
ostente la jefatura deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.

De acuerdo con las consideraciones expuestas en relación al DPD del MF,
tampoco resultan compatibles el desempeño de funciones de un responsable SIMF y las correspondientes al adjunto del DPD. Por ello, con el fin de salvaguardar la independencia requerida a los adjuntos del DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones de adjunto del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.

En todo caso, con carácter previo al nombramiento de los adjuntos del DPD del MF deberán examinarse las concretas funciones del candidato que deberá compatibilizar con el cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de intereses.

8.2.4.3. Convocatoria, procedimiento de selección y nombramiento

Teniendo en cuenta su ámbito de actuación en las CCAA, y con el fin de
facilitar el cumplimiento de sus funciones y la compatibilidad con el desempeño de otras tareas, para el nombramiento del adjunto del DPD del MF correspondiente a cada comunidad autónoma, el/la Fiscal General del Estado dirigirá una convocatoria a los fiscales de la plantilla destinados en la comunidad autónoma correspondiente (en la Fiscalía de la Comunidad
Autónoma, Provincial, o de Área). Debido a la vocación de estabilidad en el
desempeño de las funciones, no podrán presentarse los fiscales que estén en comisión de servicio, salvo que su plaza en propiedad se corresponda con la misma comunidad autónoma.

Los aspirantes deberán presentar en el plazo fijado en la convocatoria su
curriculum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.

La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado Adjunto del DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.
Cada Fiscal Superior emitirá un informe sobre las candidaturas que remitirá a la Fiscalía General del Estado junto con todas las solicitudes y la relación de méritos presentadas en su ámbito territorial.

Los adjuntos del DPD del MF serán nombrados y, en su caso, relevados
mediante decreto de la/del Fiscal General del Estado, previo informe del DPD sobre las candidaturas presentadas y oído el Consejo Fiscal (art. 14.cuatro EOMF).

El nombramiento de los adjuntos del DPD del MF, que forman parte de su
equipo, se efectuará por el Fiscal General del Estado (art. 22.2 EOMF).

8.2.4.4. Funciones de los Adjuntos del DPD del MF

Los adjuntos del DPD del MF ejercerán, en su ámbito, bajo la dirección y en
coordinación con el DPD del MF, las siguientes funciones de información,
asesoramiento y supervisión:

  • Informar y asesorar a los órganos del MF y a los fiscales que realicen
    operaciones de tratamiento de datos personales de las obligaciones que les incumben en materia de protección de datos. Los adjuntos del DPD del MF desempeñarán sus funciones en relación a las fiscalías
    territoriales de su ámbito de actuación.
  • Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF en materia de protección de datos personales, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Seguir los criterios e instrucciones impartidos por el DPD para una
    actuación homogénea y coordinada.
  • Comunicar al DPD del MF las vulneraciones en materia de protección de datos que aprecien (art. 36.4 LOPDGDD).
  • Comunicar al DPD del MF las incidencias que se produzcan en su
    ámbito territorial.
  • Dar cuenta al DPD del MF de las actuaciones que lleven a cabo en
    relación con el cumplimiento de sus funciones, remitiendo al DPD del
    MF, con carácter previo a su emisión, las recomendaciones que
    elaboren.

En caso de que el DPD del MF estuviese disconforme con la
recomendación del adjunto del DPD, aquél emitirá las instrucciones o
indicaciones que resulten precisas para garantizar la actuación
homogénea y coordinada de los distintos adjuntos del DPD y asegurar la
unidad de criterio.

  • Sustituir al DPD del MF en caso de ausencia, vacante o enfermedad, si
    así es acordado por el/la Fiscal General del Estado.
  • Sustituirse entre los adjuntos en caso de ausencia, vacante o
    enfermedad, siguiendo instrucciones del DPD del MF.

En todas sus actuaciones, los adjuntos del DPD del MF están obligados a
mantener el secreto o la confidencialidad (art. 38.5 RGPD).

8.2.4.5. Desempeño de sus funciones

El MF, como responsable del tratamiento de datos personales, debe garantizar que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos” (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).

Esta previsión normativa es aplicable a los adjuntos del DPD del MF. Por lo
tanto, el ejercicio de sus funciones deberá compatibilizarse con el desempeño de los cometidos correspondientes al puesto de destino. En todo caso, deberá garantizarse la posibilidad del desarrollo de sus funciones.

La designación de los adjuntos del DPD del MF será por un periodo de 5 años.
Transcurrido este plazo, o en el caso de cese anticipado por alguna de las
causas de cese previstas, se efectuará una nueva convocatoria, sin perjuicio de la posibilidad de concurrir de los previamente designados, sin límite de
convocatorias.

8.2.4.6 Causas de cese

De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).

La introducción de causas objetivas de cese constituye la garantía de
independencia de los adjuntos del DPD. Constituyen causas de cese de los
adjuntos del DPD del MF:

  • La apreciación de dolo o negligencia grave en el ejercicio de sus
    funciones.
  • El nombramiento para un cargo incompatible con el desempeño de las
    funciones de adjunto del DPD del MF o para un destino en otra
    comunidad autónoma.
  • La renuncia voluntaria presentada por el interesado y aceptada por el/la FGE.
  • El transcurso del plazo de nombramiento, salvo que sea nuevamente
    nombrado.

En el caso de que concurra una causa de cese, los adjuntos del DPD del MF
serán relevados mediante resolución de la/el Fiscal General del Estado. En
todo caso, se garantizará la audiencia del interesado cuyo relevo vaya a ser
propuesto.

8.2.4.7. Régimen transitorio

Una vez nombrado el DPD del MF de acuerdo con lo previsto en esta
instrucción, en el plazo de 2 meses deberá procederse a la convocatoria y
designación de los adjuntos del DPD del MF.

Hasta el nombramiento por el FGE de los adjuntos del DPD del MF con arreglo a esta instrucción, los fiscales hasta ahora designados para ejercer funciones en materia de protección de datos en el ámbito de las CCAA seguirán desempeñando las mismas.

  • 9. Cláusula de vigencia

La presente instrucción deroga la Instrucción 6/2001, de 21 de diciembre, sobre Ficheros automatizados de Datos Personales Gestionados por el Ministerio Fiscal.

  • 10. Conclusiones

Primera. El derecho a la protección de datos personales es un derecho
fundamental implícitamente reconocido en el art. 18.4 CE y consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la UE y en el art. 16.1 del Tratado de Funcionamiento de la UE.

Segunda. La actuación cotidiana del MF implica el tratamiento de datos
personales. Este tratamiento se efectúa en el contexto de la actividad
jurisdiccional o cuasijurisdiccional -correspondiente al cumplimiento de su
misión de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social (arts. 124 CE y art. 2 EOMF)- y en la tramitación de los expedientes de naturaleza administrativa o gubernativa.

Tercera. Toda la actuación del MF se encuentra sujeta a la normativa de
protección de datos, pues el derecho a la protección de datos vincula al MF al igual que a todos los poderes públicos (art 53 CE).

Cuarta. El responsable del tratamiento es un concepto esencial en la actual
normativa de protección de datos que identifica quién debe asumir la
responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La
definición del responsable permite además en ocasiones determinar el alcance del tratamiento (art. 6 RGPD).

Quinta. En nuestra legislación, no hay una asignación explícita de la
responsabilidad del tratamiento al MF; sin embargo, puede deducirse que
corresponde al Ministerio Fiscal, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos.

Sexta. El principio de responsabilidad proactiva supone que se deben aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).

La determinación del MF como responsable del tratamiento implica que las
obligaciones que le incumben deben ser asumidas necesariamente por las
fiscalías, las unidades y los órganos a través de los cuales ejerce su misión
(art. 2.1 EOMF). En todas las fiscalías y unidades organizativas fiscales debe
adecuarse el trabajo implementando la normativa de protección de datos.
Además, corresponde a todos los fiscales, de acuerdo con sus respectivas
competencias, el cumplimiento de determinadas obligaciones en materia de protección de datos en las concretas operaciones de tratamiento que efectúan en nombre del MF. Entre estas obligaciones destacan el deber de respetar la confidencialidad de los datos personales tratados y el cumplimiento de las instrucciones sobre protección de datos recibidas (art. 29 RGPD).

Séptima. El MF, como órgano responsable del tratamiento de datos personales, está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional. Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.

Octava. El DPD del MF estará asistido en sus funciones por una red de
adjuntos del DPD del MF que, bajo el principio de jerarquía, colaborarán con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto del DPD del MF en el ámbito de cada una de las CCAA.

Novena. Las funciones del DPD del MF y su equipo de adjuntos del DPD se
extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o
cuasijurisdiccionales, como gubernativas.

Décima. El nombramiento y régimen de actuación del DPD del MF y los
adjuntos del DPD del MF se ajustarán a lo dispuesto en la presente instrucción.
En razón de todo lo expuesto, los/las Sres./Sras. Fiscales se atendrán en lo
sucesivo a las prescripciones de la presente instrucción.

Madrid, a 20 de diciembre de 2019

LA FISCAL GENERAL DEL ESTADO
María José Segarra Crespo

EXCMOS. /AS. SRES./AS. FISCALES DE SALA Y FISCALES SUPERIORES,
ILMOS. /AS. SRES./AS. FISCALES JEFES PROVINCIALES Y DE ÁREA,
ILMOS. /AS. SRES./AS. FISCALES


(1) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea.

(2) En concreto se refiere al “tratamiento de datos llevado a cabo con ocasión de la tramitación por los Tribunales de los procesos de los que sean competentes, así como realizado dentro de la Oficina judicial”
(art. 236 bis LOPJ).

(3) En esta línea la Ley 3/2018, de 11 de junio, por la que se modifica la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, para regular la Orden Europea de
Investigación se refiere al fiscal como autoridad de emisión y ejecución (art. 187).

(4) Cuando el tratamiento se ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra sometido al control de la Agencia Española de Protección de Datos (AEPD). Para el tratamiento realizado por el MF en cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla la posibilidad de creación de un organismo específico en el MF que asuma esta función.

(5) El Grupo del art. 29 sobre Protección de Datos se creó en virtud del artículo 29 de la Directiva 95/46/CE.
Se trataba de un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad. Sus cometidos se describían en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. Aunque el citado informe fue emitido en relación a la Directiva 95/46/CE, sus observaciones siguen siendo plenamente válidas a efectos del RGPD.

(6) Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado” del tratamiento, adoptado el 16 de febrero de 2010 [Doc. 264/10/ES WP 169].

(7) Directiva 95 /46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

(8) Encargado del tratamiento o encargado es “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento” (art. 4.8 RGPD).

(9) El CTEAJE está integrado por una representación del Ministerio de Justicia y de cada una de las CCAA con competencias en la materia y por dos representantes designados por el CGPJ y la FGE (art. 44 de la Ley 18/2011).

(10) LO 19/2003, de 23 de diciembre, de modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. En desarrollo de esta previsión legal se dictó el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de información del Ministerio Fiscal.

(11) RGPD: arts. 37 a 39; LOPDPGDD: arts. 34 a 37; Directiva 2016/680: arts. 32 a 34.

(12) Directrices del GT 29 sobre los delegados de protección de datos (DPD), adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017 [doc. WP 243 rev.01], ratificadas por el European Data Protection Board (EDPB) en su primera sesión plenaria.

(13) También puede resultar de orientación la consulta de la AEPD 170/2018 que examina la posible compatibilidad de la figura del DPD del RGPD y el responsable de seguridad de la información del Esquema Nacional de Seguridad (RSEG), y concluye que hay una diferenciación sustantiva y
competencial entre los dos ámbitos: el RSEG actúa con el fin de garantizar la seguridad de la información con relación a los riesgos de las tecnologías de la información y las comunicaciones, y las funciones del DPD deben encaminarse a garantizar los derechos y libertades de las personas en los tratamientos que lleva a cabo el responsable. Este paralelismo competencial resulta aplicable al aspecto que examinamos (las funciones del SIMF y del DPD) y permite concluir que la protección de datos personales tiene un
ámbito mucho más extenso que el apoyo a la jefatura que efectúan los SIMF en la organización, buen uso y aprovechamiento de los sistemas de información y comunicaciones electrónicas. Sin duda, ambos cometidos requieren una formación específica. Sin embargo, debe distinguirse la formación en las TIC precisa para las funciones de los SIMF y el conocimiento jurídico en materia de protección de datos que se requiere a los DPD.

03Nov/19

Ley 27.483 de 6 de diciembre de 2018, que aprueba el Convenio para la Protección de las Personas

Ley 27.483 de 6 de diciembre de 2018, que aprueba el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. (Publicada en el Boletín Oficial del 2 de Enero de 2019)

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de

Ley:

Artículo 1º

Apruébase el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en la ciudad de Estrasburgo, República Francesa, el día 28 de enero de 1981, que consta de veintisiete (27) artículos y el Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las autoridades de control y a los flujos transfronterizos de datos, suscripto en la ciudad de Estrasburgo, República Francesa, el día 8 de noviembre de 2001, que consta de tres (3) artículos, los que como Anexos I y II, respectivamente, en idiomas inglés, francés y su traducción al español, forman parte de la presente ley.

Artículo 2º

Comuníquese al Poder Ejecutivo nacional.

Dada en la Sala de Sesiones del Congreso Argentino, en Buenos Aires, a los seis días del mes de diciembre del año dos mil dieciocho.

02Abr/19

Circular Externa 3 de 1 de agosto de 2018, que modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo, del Título V de la Circular Única de la Superintendencia de Industria y Comercio

Bogotá, D. C. 1 de agosto de 2018

Para: Responsables del tratamiento de datos personales: Sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT y personas jurídicas de naturaleza pública.

Asunto: Modificar los numerales 2.1. al 2.4. y eliminar los numerales 2.5. al 2.7. del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio.

1.- Objeto

Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio, relacionado con el Registro Nacional de Bases de Datos -RNBD, teniendo en cuenta lo señalado por el Decreto 090 de 2018 que modificó los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.

2.- Fundamento Legal

La Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales establece en su artículo 19 que «La Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley» e incluye dentro del listado de funciones atribuidas a esta entidad (1), la de «administrar el Registro Nacional de Bases de Datos y emitir las órdenes y actos necesarios para su administración y funcionamiento».

Así mismo, el artículo 25 de la ley en mención, creó el Registro Nacional de Bases de Datos -RNBD-, y lo definió como el directorio público de las bases de datos personales sujetas a Tratamiento que operan en el país precisando que el Gobierno Nacional debía reglamentar «la información mínima que debe contener el Registro y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento».

Por su parte, el Capítulo 26 del Decreto Único 1074 de 2015 reglamentó el artículo 25 de la Ley 1581 de 2012 indicando el objeto del Registro Nacional de Bases de Datos, el ámbito de aplicación del mismo, así como los términos y condiciones de inscripción, entre otros.

En particular, el artículo 2.2.2.26.1.2 del Decreto Único 1074 de 2015 (2) señaló lo siguiente:

«Artículo 2.2.2.26.1.2. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual sea realizado por los Responsables del tratamiento que reúnan las siguientes características:

a) Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).

b) Personas Jurídicas de naturaleza pública».

Así mismo, el artículo 2.2.2.26.3.1. del mencionado Decreto estableció el siguiente plazo para llevar a cabo el registro de las bases de datos:

«Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:

a. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario, deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio.

b. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.

c. Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.

Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a), b) y c) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

De acuerdo con lo expuesto en la parte considerativa del Decreto 090 del 18 de enero de 2018, las personas jurídicas y naturales que se exceptúan de efectuar el registro mediante ese Decreto, no quedan relevadas del cumplimiento de los demás deberes establecidos para los Responsables del Tratamiento de datos personales. En consecuencia, si bien no están obligadas a registrar sus bases de datos ante la Superintendencia de Industria y Comercio, siguen sujetas al cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012.

Así las cosas, se hace necesario modificar las instrucciones impartidas por la Superintendencia de Industria y Comercio de acuerdo con lo establecido en el citado decreto reglamentario para que los sujetos obligados realicen la inscripción de sus bases de datos.

3. Instructivo

Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio el cual quedará así:

«CAPÍTULO SEGUNDO: REGISTRO NACIONAL DE BASES DE DATOS-RNBD

2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD

Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015.

a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la Transmisión Internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:

i) Reclamos presentados por los Titulares: Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero-junio y julio-diciembre). Esta información se reportará teniendo en cuenta los manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resuelto de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.

ii) Incidentes de seguridad: Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.

2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD

Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el «Manual del Usuario del Registro Nacional de Bases de Datos -RNBD» publicado en el sitio Web de la Superintendencia de Industria y Comercio. www.sic.gov.co.

La inscripción se realiza en línea en el portal Web de esta entidad (3).

De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la sección 3 del Capítulo 26 del Decreto 1074 de 2015 (4), dicha inscripción se llevará a cabo en los siguientes plazos:

a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.

b) Los Responsables de Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.

c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.

A cada base de datos se le asignará un número de radicado una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.

2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD

Los Responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:

i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.

ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2020.

Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre de 2019.

Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.

2.4 Consulta del Registro Nacional de Bases de Datos RNBD

La consulta del RNBD se encuentra habilitada en el portal web de esta entidad con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD».

4. Vigencia

La presente circular externa entra a regir a partir de la fecha de su publicación en el Diario Oficial.

Atentamente

PABLO FELIPE ROBLEDO DEL CASTILLO

Superintendente de Industria y Comercio


(1) Literal h) Artículo 21 Ley 1581 de 2012

(2) Modificado por el Decreto 090 del 18 de enero de 2018

(3) www.sic.gov.co. Se ingresa por el micrositio de «Protección de datos personales» ubicado en la barra horizontal superior y luego por «Registro Bases de Datos»

(4) Modificado por el Decreto 090 del 18 de enero de 2018

13Jul/18

Las nuevas obligaciones de los proveedores de cloud computing

El RGPD (GDPR en sus siglas en inglés) ha alterado en panorama europeo (si no mundial) de la protección de datos, y la gran mayoría de actores se están preparando para una norma mucho más exigente  que la vigente durante años, que va a afectar a servicios cuyo objeto de negocio es el tratamiento de los datos personales.

 

Uno de estos servicios es el cloud computing, consistente en el almacenamiento en servidores ajenos repartidos en diferentes localizaciones y a cuya información se puede acceder desde cualquier dispositivo con conexión a internet, y mundialmente famosos por servicios como Google Drive o OneDrive. El contrato con este servicio conlleva externalizar el tratamiento de datos (encargar en el lenguaje del Reglamento), y esto conlleva una serie de responsabilidades para ambas partes.

 

En primer lugar, es necesario formalizar la relación mediante un contrato por el cual se determinen los roles de cada parte. Este contrato estipulará el régimen de la protección de datos y, en especial, 1) el objeto y duración del tratamiento, 2)  la finalidad, 3) las categorías de personas y datos personales tratados, y 4) las instrucciones respecto al fin del tratamiento.

 

Una característica clave de los proveedores de servicios cloud (véase Google, Microsoft o Amazon) es que muchas veces es necesario integrar en el propio servicio elementos de otras empresas, y las cuales tienen responsabilidad en el tratamiento de datos. Para ello, es necesario que en ese contrato se autorice la contratación de servicios con esas terceras empresas para poder desplegar un servicio cloud correctamente.

 

Como se ha dicho anteriormente, los servidores pueden estar distribuidos en varios países, ya no solo dentro de la Unión Europea, también de otros países ajenos a esta. Esto significa que si alguien “sube” datos personales, pueden estar almacenados fuera de la UE. El RGPD impone férreas obligaciones para poder transferir datos fuera de la UE, como la exigencia de garantizar la seguridad de los datos en ese otro país, o que la UE haya declarado a ese país como “seguro”.

 

La seguridad se presenta clave en estos servicios, puesto que al encargar el tratamiento de los datos a otra empresa, se puede llegar a perder el control de estos. Es por ello que la empresa responsable del tratamiento debe asegurar que el proveedor de servicios cloud aplica las suficientes medidas de seguridad. Esto se puede conseguir mediante acuerdos contractuales o certificaciones en materia de seguridad.

 

Los proveedores de servicios cloud se enfrentan a una nueva era en la protección de datos, los cuales tienen la oportunidad de dar valor añadido a su servicio asegurando una adecuada seguridad en él; está en su mano dar prioridad a la privacidad en este nuevo contexto.

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

 

17Feb/18

Lov. Nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger

Lov. Nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger

 

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:

 

Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

 

Afsnit I.- Indledende bestemmelser

 

Kapitel 1.- Lovens område

 

§ 1. Loven gælder for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

 

Stk. 2. Loven finder ikke anvendelse på den behandling af personoplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester.

 

Stk. 3. Loven finder ikke anvendelse på behandling af personoplysninger i medfør af EU-retsakter, der den 6. maj 2016 eller inden denne dato er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og de udpegede myndigheders adgang til EU-informationssystemer.

 

§ 2. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

 

Kapitel 2.- Definitioner

 

§ 3. I denne lov forstås ved:

 

1) Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

 

2) Behandling: Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for.

 

3) Begrænsning af behandling: Mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger.

 

4) Profilering: Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person.

 

5) Register: Enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på et funktionsbestemt eller et geografisk grundlag.

 

6) Kompetent myndighed: Enhver offentlig myndighed eller ethvert andet organ eller enhver anden enhed, der i henhold til medlemsstaternes nationale ret er bemyndiget til at udøve offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. De kompetente myndigheder i Danmark er politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene.

 

7) Dataansvarlig: Den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

 

8) Databehandler: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

 

9) Modtager: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, således at modtageren herefter selvstændigt træffer beslutning om, til hvilket formål og med hvilke midler denne behandler de videregivne oplysninger, uanset om det er en tredjemand eller ej. Myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.

 

10) Brud på persondatasikkerheden: Ethvert brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, hændeligt eller ulovligt tab, hændelig eller ulovlig ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

 

11) Genetiske data: Personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person.

 

12) Biometriske data: Personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.

 

13) Helbredsoplysninger: Personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.

 

14) International organisation: En folkeretlig organisation og organer, der er underordnet en sådan organisation, og ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.

 

Afsnit II.- Behandlingsregler

 

Kapitel 3.- Behandling af oplysninger

 

§ 4. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik og under hensyntagen til oplysningernes karakter.

 

Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, som er omfattet af § 1, stk. 1, og senere behandling må ikke være uforenelig med disse formål, jf. dog § 5.

 

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

 

Stk. 4. Oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.

 

Stk. 5. Den dataansvarlige træffer alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.

 

Stk. 6. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

 

Stk. 7. Indsamlede oplysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, hændelig tilintetgørelse eller hændelig beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. § 27.

 

Stk. 8. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1-7 overholdes.

 

§ 5. Senere behandling af oplysninger til et andet af de formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprindelig var indsamlet, kan foretages af den samme eller en anden af de kompetente myndigheder, når behandlingen sker på baggrund af lov og er nødvendig og forholdsmæssig i forhold til dette efterfølgende formål.

 

Stk. 2. Der kan i medfør af stk. 1 endvidere foretages behandling af oplysninger, der alene sker til arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed.

 

Stk. 3. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 og 2 overholdes.

 

§ 6. Foretages der videregivelse af oplysninger, fastsætter og underretter den videregivende kompetente myndighed om eventuelle særlige vilkår for behandling af oplysningerne. Der kan ikke fastsættes særlige vilkår, alene som følge af at der er tale om videregivelse til en modtager i en anden medlemsstat.

 

Stk. 2. Behandling af oplysninger, der er modtaget fra en kompetent myndighed, må ikke ske i strid med særlige vilkår, som er fastsat af den videregivende kompetente myndighed.

 

§ 7. Den dataansvarlige skal tilrettelægge behandlingen af personoplysninger således, at der fastsættes passende frister for sletning af personoplysninger eller regelmæssig undersøgelse af behovet for lagring af oplysningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at tidsfristerne overholdes.

 

§ 8. Den dataansvarlige skal, når det er relevant, så vidt muligt sondre mellem personoplysninger om forskellige kategorier af registrerede, herunder

 

1) personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling,

 

2) personer, der er dømt for en strafbar handling,

 

3) ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne blive ofre for en strafbar handling, og

 

4) andre parter i forbindelse med en strafbar handling såsom personer, der kan blive indkaldt som vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsagepersoner for de personer, der er nævnt i nr. 1 og 2.

 

§ 9. Behandling af oplysninger må kun finde sted, når behandlingen er nødvendig for at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

 

§ 10. Der må ikke behandles personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

 

Stk. 2. Under overholdelse af betingelserne i denne lov kan der dog foretages behandling af oplysninger omfattet af stk. 1, når det er strengt nødvendigt og sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herunder for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller hvis behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.

 

§ 11. Der kan træffes afgørelser, der har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, alene på grundlag af automatisk behandling, herunder profilering.

 

Stk. 2. Ved afgørelser, der er omfattet af stk. 1, skal der findes passende foranstaltninger til at sikre den registreredes berettigede interesser, herunder i det mindste en ret for den registrerede til at kræve menneskelig indgriben fra den dataansvarliges side.

 

§ 12. De kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning til tilsynsmyndighederne af overtrædelser af denne lov.

 

Afsnit III.- Den registreredes rettigheder

 

Kapitel 4.- Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

 

§ 13. Den dataansvarlige skal stille følgende oplysninger til rådighed for den registrerede:

 

1) Identitet på og kontaktoplysninger for den dataansvarlige.

 

2) Kontaktoplysninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i forhold til de registrerede.

 

3) Formålene med den behandling, som personoplysningerne skal bruges til.

 

4) Retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysninger for tilsynsmyndigheden.

 

5) Den registreredes rettigheder efter kapitel 5 og 6.

 

6) Retten til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til de kompetente myndigheders afgørelser om undladelse, udsættelse, begrænsning eller nægtelse efter dette kapitel og kapitel 5 og 6, jf. § 40, stk. 1, nr. 10.

 

Stk. 2. Er det nødvendigt for, at den registrerede kan varetage sine interesser, skal den dataansvarlige som minimum give den registrerede meddelelse om følgende:

 

1) Retsgrundlaget for behandlingen.

 

2) Det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.

 

3) Kategorierne af eventuelle modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer.

 

4) Yderligere oplysninger, hvis det er nødvendigt, navnlig hvis personoplysningerne indsamles uden den registreredes vidende.

 

§ 14. Meddelelse efter § 13, stk. 2, kan udsættes, begrænses eller undlades, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for at

 

1) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer,

 

2) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner,

 

3) beskytte den offentlige sikkerhed,

 

4) beskytte statens sikkerhed eller

 

5) beskytte den registreredes eller andres rettigheder.

 

Stk. 2. Justitsministeren fastsætter nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, og om, at meddelelse efter § 13, stk. 2, kan udsættes til et passende tidspunkt, for så vidt hensynene i stk. 1 må antages at medføre, at meddelelser i almindelighed må underkastes en sådan udsættelse.

 

Kapitel 5.- Den registreredes indsigtsret

 

§ 15. Fremsætter en registreret begæring herom, skal den dataansvarlige bekræfte over for den pågældende, om der behandles oplysninger om vedkommende.

 

Stk. 2. Behandles der oplysninger om den pågældende, skal der gives adgang til oplysningerne samt gives en meddelelse med følgende oplysninger:

 

1) Formålene med og retsgrundlaget for behandlingen.

 

2) De berørte kategorier af personoplysninger.

 

3) De modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, herunder navnlig modtagere i tredjelande eller internationale organisationer.

 

4) Om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.

 

5) Retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede.

 

6) Retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysninger for tilsynsmyndigheden.

 

7) Hvilke personoplysninger der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.

 

§ 16. Indsigt efter § 15 kan udsættes, begrænses eller nægtes, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for de hensyn til offentlige interesser, der er nævnt i § 14, stk. 1.

 

Stk. 2. En afgørelse om, at den registreredes indsigt udsættes, begrænses eller nægtes, skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvidere indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10.

 

Stk. 3. Af hensyn til de i stk. 1 nævnte formål kan den registrerede i stedet for meddelelse efter stk. 2 gives meddelelse om, at det ikke kan oplyses, om der behandles oplysninger om den pågældende. En sådan meddelelse skal indeholde en klagevejledning og oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10.

 

Stk. 4. Justitsministeren fastsætter nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, herunder om undtagelser fra retten til at få oplysninger efter § 15, for så vidt hensynene i stk. 1 må antages at medføre, at begæringer om indsigt i almindelighed må nægtes.

 

Kapitel 6.- Ret til berigtigelse, sletning og begrænsning af behandling

 

§ 17. Den dataansvarlige skal efter anmodning fra den registrerede uden unødig forsinkelse berigtige oplysninger, der viser sig urigtige. På tilsvarende måde skal der ske fuldstændiggørelse af ufuldstændige oplysninger, hvis dette kan ske uden at bringe formålet med behandlingen i fare. Den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.

 

Stk. 2. Den dataansvarlige skal efter anmodning fra den registrerede uden unødig forsinkelse slette oplysninger, der er behandlet i strid med kapitel 3, eller hvis det er påkrævet for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

 

Stk. 3. Den dataansvarlige skal i stedet for sletning begrænse behandlingen af personoplysninger, hvis

 

1) rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke kan konstateres eller

 

2) personoplysningerne skal bevares som bevismiddel.

 

Stk. 4. Er behandling begrænset i henhold til stk. 3, nr. 1, underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

 

Stk. 5. Et afslag på en anmodning om berigtigelse, sletning eller begrænsning af behandling skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvidere indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10. Bestemmelsen i § 16, stk. 3, finder tilsvarende anvendelse.

 

Stk. 6. Den dataansvarlige skal underrette modtagere om, at der er sket berigtigelse, sletning eller begrænsning af behandling af personoplysninger. Modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af personoplysninger, som de har ansvaret for.

 

Kapitel 7.- Generelle bestemmelser

 

§ 18. Oplysninger og meddelelser, der er nævnt i dette afsnit, skal stilles til rådighed eller gives gratis i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

 

Stk. 2. Den dataansvarlige skal snarest og på skrift besvare anmodninger som nævnt i dette afsnit. Er anmodningen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil samt om, hvornår anmodningen forventes besvaret.

 

Stk. 3. Retsplejelovens og den militære retsplejelovs regler om retten til oplysninger, indsigt i og berigtigelse eller sletning og begrænsning af behandling af personoplysninger i straffesager finder anvendelse i forhold til rettigheder i medfør af dette afsnit.

 

Stk. 4. Justitsministeren fastsætter nærmere regler om behandling af anmodninger i medfør af dette afsnit og om behandling af klagesager, herunder at afgørelser ikke skal kunne påklages til anden administrativ myndighed.

 

§ 19. Den dataansvarlige kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger, som er fremsat i henhold til bestemmelserne i dette afsnit.

 

Afsnit IV.- Forpligtelser for den dataansvarlige og databehandleren

 

Kapitel 8.- Forpligtelser for den dataansvarlige

 

§ 20. Den dataansvarlige gennemfører og om nødvendigt ajourfører og reviderer de fornødne tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne lov. Står det i rimeligt forhold til behandlingsaktiviteterne, skal den dataansvarlige tillige gennemføre de fornødne databeskyttelsespolitikker.

 

Stk. 2. Foranstaltninger efter stk. 1 omfatter databeskyttelse gennem design og gennem standardindstillinger.

 

§ 21. Fastsætter to eller flere dataansvarlige i fællesskab formålene med og hjælpemidlerne til behandling, betragtes de som fælles dataansvarlige. Fælles dataansvarlige skal fastsætte en ordning for fordeling af ansvaret for, at behandlingen er i overensstemmelse med loven, herunder navnlig i forhold til den registreredes rettigheder efter afsnit III. Ordningen skal omfatte udpegning af et fælles kontaktpunkt. Der kan udpeges et særligt kontaktpunkt, der kan fungere som fælles kontaktpunkt for de registrerede, når disse udøver deres rettigheder.

 

Kapitel 9.- Forpligtelser for databehandleren m.v.

 

§ 22. Overlader en dataansvarlig en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24, og påse, at dette sker.

 

Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til lov eller en skriftlig aftale mellem databehandleren og den dataansvarlige. Loven eller aftalen skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Det skal navnlig fremgå, at databehandleren

 

1) kun må handle efter instruks fra den dataansvarlige,

 

2) sikrer, at de fysiske personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt,

 

3) bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder,

 

4) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, medmindre anden lovgivning foreskriver opbevaring af personoplysningerne,

 

5) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne bestemmelse, til rådighed for den dataansvarlige og

 

6) overholder betingelserne i nr. 1-5 og stk. 3 med henblik på at gøre brug af en anden databehandler.

 

Stk. 3. En databehandlers overladelse af behandling til en anden databehandler skal ske i henhold til en generel eller specifik skriftlig aftale med den dataansvarlige. Sker overladelse i henhold til en generel aftale, skal databehandleren underrette den dataansvarlige herom senest 14 dage forud for overladelsen.

 

Stk. 4. Enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, må kun efter instruks fra den dataansvarlige behandle disse oplysninger, medmindre det følger af anden lovgivning, at den pågældende skal foretage behandlingen.

 

Kapitel 10.- Fortegnelser over behandlingsaktiviteter og logning

 

§ 23. Den dataansvarlige skal føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter under den dataansvarliges ansvar. Fortegnelserne skal indeholde oplysning om

 

1) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige og databeskyttelsesrådgiveren,

 

2) formålene med behandlingen,

 

3) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer,

 

4) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger,

 

5) brugen af profilering, hvor det er relevant,

 

6) kategorierne af overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant,

 

7) retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil personoplysningerne er bestemt,

 

8) de forventede tidsfrister for sletning af de forskellige kategorier af personoplysninger, hvis det er muligt, og

 

9) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.

 

Stk. 2. Databehandleren fører skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig. Fortegnelserne skal indeholde oplysning om

 

1) navn på og kontaktoplysninger for databehandleren eller databehandlerne for hver dataansvarlig, på hvis vegne databehandleren handler, og, hvor det er relevant, databeskyttelsesrådgiveren,

 

2) de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige,

 

3) overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af dette tredjeland eller denne internationale organisation, og

 

4) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.

 

§ 24. I automatiske databehandlingssystemer foretages logning af indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning.

 

Stk. 2. Justitsministeren fastsætter nærmere regler om, hvilke automatiske databehandlingssystemer indført før den 6. maj 2016, der er omfattet af stk. 1.

 

Kapitel 11.- Konsekvensanalyser og høring af tilsynsmyndighederne

 

§ 25. Vil en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, sit omfang, sin sammenhæng og sit formål, sandsynligvis indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

 

Stk. 2. Analysen skal indeholde en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne lov, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

 

§ 26. Den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når

 

1) en konsekvensanalyse vedrørende databeskyttelse, jf. § 25, viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, eller

 

2) den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder.

 

Stk. 2. Finder tilsynsmyndigheden, at den planlagte behandling ikke vil overholde loven, herunder navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, giver tilsynsmyndigheden inden for en periode på op til 6 uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende enhver af sine beføjelser, jf. kapitel 20. Denne periode kan forlænges med 1 måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest 1 måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

 

Stk. 3. Tilsynsmyndighederne opstiller en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

 

Afsnit V.- Personoplysningssikkerhed

 

Kapitel 12.- Behandlingssikkerhed

 

§ 27. Den dataansvarlige og databehandleren skal under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål og risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af § 10.

 

Stk. 2. For så vidt angår automatisk behandling, skal den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemføre foranstaltninger til at sikre, at

 

1) uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling (kontrol med fysisk adgang til udstyret),

 

2) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (kontrol med datamedier),

 

3) der ikke sker uautoriseret indlæsning af personoplysninger eller uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring),

 

4) automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol),

 

5) personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de personoplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen),

 

6) det er muligt at kontrollere og fastslå de modtagere, til hvilke der er blevet transmitteret eller stillet oplysninger til rådighed eller kan transmitteres eller stilles oplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol),

 

7) det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst (kontrol med indlæsning),

 

8) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (transportkontrol),

 

9) de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning) og

 

10) systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).

 

Stk. 3. For oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold, jf. dog stk. 5.

 

Stk. 4. Justitsministeren fastsætter nærmere regler om de i stk. 1-3 nævnte foranstaltninger.

 

Stk. 5. Justitsministeren kan efter indstilling fra en kompetent myndighed fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt.

 

Kapitel 13.- Brud på datasikkerheden

 

§ 28. Ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal begrundes.

 

Stk. 2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige om et brud på persondatasikkerheden.

 

Stk. 3. Anmeldelsen efter stk. 1 skal

 

1) beskrive karakteren af bruddet på persondatasikkerheden, herunder i videst muligt omfang kategorierne af og det berørte antal registrerede og kategorierne af og det berørte antal registreringer af personoplysninger,

 

2) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,

 

3) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden og

 

4) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

 

Stk. 4. Er det ikke muligt at forelægge oplysningerne, der er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis uden unødig forsinkelse.

 

Stk. 5. Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, som er omfattet af stk. 1, herunder de faktiske omstændigheder vedrørende bruddet, bruddets virkninger og de trufne afhjælpende foranstaltninger.

 

Stk. 6. Omhandler bruddet på persondatasikkerheden oplysninger, der er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den dataansvarlige i denne medlemsstat.

 

§ 29. Ved brud på persondatasikkerheden, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet.

 

Stk. 2. Underretningen skal i et klart og enkelt sprog beskrive karakteren af bruddet og indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.

 

Stk. 3. Bestemmelsen i stk. 1 gælder ikke, hvis

 

1) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, herunder navnlig foranstaltninger, der f.eks. på grund af kryptering gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil,

 

2) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller

 

3) det vil kræve en uforholdsmæssig indsats af den dataansvarlige.

 

Stk. 4. I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i stedet gives en offentlig meddelelse eller træffes tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

 

Stk. 5. Har den dataansvarlige ikke allerede underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

 

Stk. 6. Underretning af den registrerede kan udsættes, begrænses eller undlades af de grunde, der er nævnt i § 14, stk. 1.

 

Afsnit VI.- Databeskyttelsesrådgiver

 

Kapitel 14.- Udpegelse af en databeskyttelsesrådgiver

 

§ 30. Den dataansvarlige udpeger på grundlag af faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret og -praksis og evnen til at udføre de opgaver, der er nævnt i kapitel 15, en databeskyttelsesrådgiver, som inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger.

 

Stk. 2. Flere dataansvarlige kan under hensyntagen til deres størrelse og organisatoriske forhold udpege en fælles databeskyttelsesrådgiver.

 

Stk. 3. Bestemmelsen i stk. 1 gælder ikke for domstolene, når disse foretager behandling af personoplysninger i deres egenskab af domstole.

 

Stk. 4. Den dataansvarlige offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.

 

Kapitel 15.- Databeskyttelsesrådgiverens stilling og opgaver

 

§ 31. Den dataansvarlige understøtter, at databeskyttelsesrådgiveren kan

 

1) underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger, om deres forpligtelser i medfør af denne lov og anden lovgivning om databeskyttelse,

 

2) overvåge overholdelsen af denne lov og anden lovgivning om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteterne og de tilhørende revisioner,

 

3) rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til bestemmelsen i § 25 og

 

4) samarbejde med tilsynsmyndigheden og fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er nævnt i § 26, og høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.

 

Afsnit VII.- Overførsler af personoplysninger til tredjelande eller internationale organisationer

 

Kapitel 16.- Generelle principper

 

§ 32. Overførsel af personoplysninger, der behandles eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, må kun finde sted under overholdelse af reglerne i denne lov, og hvis betingelserne i dette afsnit er overholdt, herunder navnlig at

 

1) overførslen er nødvendig i forhold til de formål, der er nævnt i § 1, stk. 1,

 

2) personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organisation, der er en myndighed, der er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1,

 

3) en kompetent myndighed i en anden medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale regler og personoplysningerne transmitteres eller stilles til rådighed af denne myndighed,

 

4) der foreligger et af de overførselsgrundlag, der er nævnt i kapitel 17, og

 

5) den kompetente myndighed, der foretog den oprindelige overførsel, i tilfælde af videreoverførsel til et andet tredjeland eller en anden international organisation giver bemyndigelse til videreoverførslen, efter at den har taget behørigt hensyn til alle relevante faktorer, herunder en strafbar handlings grovhed, det formål, hvortil personoplysningerne oprindelig blev overført, og beskyttelsesniveauet for personoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysningerne videreoverføres.

 

Stk. 2. Overførsel uden forudgående godkendelse efter stk. 1, nr. 3, kan ske, hvis overførslen er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den pågældende godkendelse, underrettes straks om overførslen.

 

Kapitel 17.- Grundlag for overførsel

 

§ 33. Overførsel kan ske, hvis Europa-Kommissionen har truffet afgørelse om, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau.

 

§ 34. Foreligger der ikke en afgørelse som nævnt i § 33, kan der ske overførsel, hvis

 

1) der i en international aftale er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, eller

 

2) den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysninger og konkluderet, at der findes de fornødne garantier for beskyttelsen af personoplysninger.

 

Stk. 2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, nr. 2.

 

Stk. 3. En overførsel i medfør af stk. 1, nr. 2, dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen stilles efter anmodning til rådighed for tilsynsmyndigheden.

 

§ 35. Foreligger der ikke en afgørelse som nævnt i § 33 eller de fornødne garantier som nævnt i § 34, kan en overførsel eller en kategori af overførsler kun finde sted, hvis overførslen er nødvendig

 

1) for at beskytte den registreredes eller en anden persons vitale interesser,

 

2) for at beskytte den registreredes legitime interesser, hvis det er fastsat i henhold til lov,

 

3) for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed,

 

4) i enkeltsager med henblik på de formål, der er nævnt i § 1, stk. 1, eller

 

5) i en enkeltsag, for at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på de formål, der er nævnt i § 1, stk. 1.

 

Stk. 2. Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde sted, hvis hensynet til den registreredes rettigheder går forud for den samfundsmæssige interesse i overførslen.

 

Stk. 3. En overførsel i medfør af stk. 1 dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen stilles efter anmodning til rådighed for tilsynsmyndigheden.

 

§ 36. De kompetente myndigheder kan overføre personoplysninger til andre end kompetente myndigheder og internationale organisationer på baggrund af en international aftale eller i enkeltstående og specifikke tilfælde, hvis

 

1) overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en opgave, der følger af lovgivningen, og forfølger de formål, der er nævnt i § 1, stk. 1,

 

2) den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes grundlæggende rettigheder går forud for samfundets interesse, der nødvendiggør overførslen i det foreliggende tilfælde,

 

3) den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kan foretages i tide,

 

4) den myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, underrettes uden unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt, og

 

5) den overførende kompetente myndighed underretter modtageren om det eller de specifikke formål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne behandling er nødvendig.

 

Stk. 2. Den overførende kompetente myndighed dokumenterer og underretter tilsynsmyndigheden om overførsler i medfør af stk. 1.

 

Afsnit VIII.- Tilsynsmyndighed

 

Kapitel 18.- Datatilsynet

 

§ 37. Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, jf. dog kapitel 19.

 

Stk. 2. Tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.

 

Stk. 3. Justitsministeren nedsætter Datarådet, som består af 1 formand, der er dommer, og 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden og medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegningen af formand og medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.

 

Stk. 4. Rådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.

 

Stk. 5. Udpegningen af formand og medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.

 

Stk. 6. Hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.

 

Stk. 7. Formanden og medlemmer og stedfortrædere for disse kan alene afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.

 

Stk. 8. Sekretariatets personale og Datarådets formand og medlemmer og stedfortrædere for disse kan kun have bibeskæftigelse, i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.

 

Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.

 

Kapitel 19.- Tilsyn med domstolene

 

§ 38. Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene, når disse ikke handler i deres egenskab af domstol.

 

Stk. 2. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den afgørelse, der er nævnt i 1. pkt., kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.

 

Kapitel 20.- Tilsynsmyndighedernes opgaver og beføjelser

 

§ 39. Tilsynsmyndighederne udøver deres funktioner i fuld uafhængighed.

 

§ 40. Tilsynsmyndighederne har til opgave her i landet at

 

1) føre tilsyn med og håndhæve anvendelsen af denne lov,

 

2) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger,

 

3) rådgive Folketinget, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder i forbindelse med behandling,

 

4) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af denne lov,

 

5) efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af denne lov og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant,

 

6) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med bestemmelsen i § 48, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for højst 3 måneder, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig,

 

7) videresende klager, som skal behandles af en tilsynsmyndighed i en anden medlemsstat,

 

8) efter anmodning yde supplerende bistand til en registreret, der har indgivet en klage, som er blevet videresendt til en tilsynsmyndighed i en anden medlemsstat,

 

9) underrette en registreret, der har indgivet en klage, om adgangen til retsmidler efter kapitel 22,

 

10) efter anmodning kontrollere, om en behandling af personoplysninger er lovlig i henhold til undladelse, udsættelse, begrænsning eller nægtelse efter kapitel 4-6, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget, og om den registreredes adgang til retsmidler efter kapitel 22,

 

11) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af denne lov,

 

12) gennemføre undersøgelser om anvendelsen af denne lov, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed,

 

13) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi,

 

14) rådgive om behandlingsaktiviteter som omhandlet i § 26 og

 

15) bidrage til Det Europæiske Databeskyttelsesråds aktiviteter.

 

Stk. 2. Tilsynsmyndighederne letter indgivelsen af klager efter stk. 1, nr. 6.

 

Stk. 3. Tilsynsmyndighederne kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger efter denne lov.

 

§ 41. Tilsynsmyndighederne kan kræve enhver oplysning, der er af betydning for deres virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.

 

Stk. 2. Tilsynsmyndighedernes medlemmer og personale har mod behørig legitimation til enhver tid uden retskendelse adgang til alle lokaler, hvorfra en behandling af personoplysninger foretages.

 

§ 42. Tilsynsmyndighederne kan over for den dataansvarlige og databehandleren afgive udtalelse om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne lov, give påbud om at bringe behandlingsaktiviteter i overensstemmelse med denne lov eller midlertidigt eller definitivt begrænse, herunder forbyde, behandling af personoplysninger.

 

Stk. 2. Tilsynsmyndighedernes afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed.

 

§ 43. Ved udarbejdelse af generelle retsforskrifter, der har betydning for behandling af personoplysninger, skal der indhentes en udtalelse fra Datatilsynet. Er der tale om generelle forskrifter, der har betydning for behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.

 

§ 44. Tilsynsmyndighederne kan indbringe spørgsmål om overtrædelser af denne lov for retten i den borgerlige retsplejes former.

 

§ 45. Tilsynsmyndighederne afgiver en årlig beretning om deres virksomhed til Folketinget og justitsministeren. Beretningen offentliggøres.

 

Kapitel 21.- Samarbejde

 

§ 46. Tilsynsmyndighederne samarbejder, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.

 

§ 47. Tilsynsmyndighederne besvarer anmodninger fra en tilsynsmyndighed i en anden medlemsstat uden unødig forsinkelse og senest 1 måned efter modtagelsen. Oplysninger, som en tilsynsmyndighed i en anden medlemsstat har anmodet om, fremsendes elektronisk i et standardformat.

 

Stk. 2. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

 

Stk. 3. Anmodninger kan alene afvises, når den anmodede tilsynsmyndighed ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller en imødekommelse af anmodningen vil være i strid med denne eller anden lov. Et afslag på at imødekomme en anmodning skal begrundes.

 

Afsnit IX.- Retsmidler, ansvar og sanktioner

 

Kapitel 22.- Retsmidler, ansvar og sanktioner

 

§ 48. Den registrerede eller dennes repræsentant kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den registrerede.

 

Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af at behandle en klage fra en registreret eller en manglende underretning efter § 40, stk. 1, nr. 6, kan af den registrerede eller dennes repræsentant indbringes for domstolene i den borgerlige retsplejes former.

 

Stk. 3. Den registrerede eller dennes repræsentant kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for domstolene i den borgerlige retsplejes former.

 

§ 49. Enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov, har ret til erstatning fra den dataansvarlige i overensstemmelse med det almindelige EU-retlige erstatningsansvar.

 

§ 50. Medmindre højere straf er forskyldt efter anden lovgivning, kan en privat databehandler, der i forbindelse med en behandling, der udføres for en kompetent myndighed, overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og § 28, stk. 2, eller undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde eller fængsel indtil 4 måneder.

 

Stk. 2. Dataansvarlige, der undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde.

 

Stk. 3. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller fængsel indtil 4 måneder.

 

Stk. 4. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

 

Afsnit X.- Afsluttende bestemmelser

 

Kapitel 23.- Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.

 

§ 51. Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Europa-Kommissionen udstedte retsakter, som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, eller regler, som er nødvendige for at anvende de af Europa-Kommissionen udstedte retsakter på direktivets område.

 

§ 52. Loven træder i kraft dagen efter bekendtgørelsen i Lovtidende.

 

Stk. 2. Lovforslaget kan stadfæstes straks efter dets vedtagelse.

 

§ 53. Lovens §§ 25 og 26 gælder i forhold til ny behandling af personoplysninger, der iværksættes, og registre, der oprettes den 1. maj 2017 eller senere.

 

§ 54. Overførsler til tredjelande og internationale organisationer kan ske i medfør af internationale aftaler, der er indgået inden den 6. maj 2016, indtil aftalerne ændres, erstattes eller ophæves.

 

§ 55. I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret senest ved § 1 i lov nr. 639 af 12. juni 2013, foretages følgende ændringer:

1. § 2, stk. 4, ophæves.

Stk. 5-11 bliver herefter stk. 4-10.

2. Efter § 2 indsættes i kapitel 1:

«§ 2 a. Loven gælder ikke for behandling, som er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, jf. dog stk. 2.

Stk. 2. Regler udstedt i medfør af § 32, stk. 5, § 41, stk. 5, § 55, stk. 4, og § 72 gælder for den behandling af personoplysninger, der er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, medmindre det vil være i strid med denne lov.»

 

§ 56. Loven gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysning med de ændringer, som de færøske forhold tilsiger. Loven gælder ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de ændringer, som de grønlandske forhold tilsiger.

 

Givet på Marselisborg Slot, den 27. april 2017

 

Under Vor Kongelige Hånd og Segl

 

MARGRETHE R.

 

Søren Pape Poulsen

 

17Feb/18

Anordning Nr 1238 of 14. oktober 2016 om ikrafttræden for Grønland af lov om behandling af personoplysninger

Anordning Nr 1238 of 14. oktober 2016 om ikrafttræden for Grønland af lov om behandling af personoplysninger

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

 

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:

 

I medfør af § 83 i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger bestemmes, at lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000, som ændret ved § 1 i lov nr. 1245 af 18. december 2012 om ændring af lov om behandling af personoplysninger, lov om udgivelsen af en Lovtidende og en Ministerialtidende, lov om hittegods og lov om skyldneres ret til at frigøre sig ved deponering (Overførsel af personoplysninger til tredjelande, afskaffelse af Ministerialtidende, bagatelgrænse for politiets behandling af hittegods m.v.), skal gælde for Grønland i følgende affattelse:

 

Afsnit I.- Indledende bestemmelser

 

Kapitel 1.- Lovens område

 

§ 1. Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Stk. 2. Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9.

Stk. 3. Loven gælder endvidere for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger, som er omfattet af § 50, stk. 1, nr. 2.

Stk. 4. Kapitel 5 gælder også for behandling af oplysninger om virksomheder m.v., jf. stk. 1.

Stk. 5. Uden for de i stk. 3 nævnte tilfælde kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private.

Stk. 6. Uden for de i stk. 4 nævnte tilfælde kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning.

 

§ 2. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæ- iske Menneskerettighedskonventions artikel 10.

Stk. 3. Loven gælder ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter.

Stk. 4. Loven finder ikke anvendelse på behandlinger, der foretages for domstolene. Bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder heller ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det kriminalretlige område.

Stk. 5. Loven finder ikke anvendelse på behandling af oplysninger, der foretages for Inatsisartut og institutioner med tilknytning dertil.

Stk. 6. Loven finder ikke anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr. 1 eller 2, som er sat i kraft for Grønland ved kongelig anordning, eller landstingslov om medieansvar § 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41, 42 og 64.

Stk. 7. Loven gælder endvidere ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens § 1, nr. 3, som er sat i kraft for Grønland ved kongelig anordning, eller landstingslov om medieansvar § 1, nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41, 42 og 64.

Stk. 8. Loven finder ikke anvendelse på manuelle arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i journalistisk øjemed. Dog gælder bestemmelserne i lovens §§ 41, 42 og 64.

Stk. 9. For behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne i lovens §§ 41, 42 og 64. Det samme gælder for behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed.

Stk. 10. Loven gælder ikke for behandlinger, der udføres for politiets og forsvarets efterretningstjenester.

 

Kapitel 2.- Definitioner

 

§ 3. I denne lov forstås ved:

1) Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

2) Behandling: Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.

3) Register med personoplysninger (register): Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

4) Den dataansvarlige: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

5) Databehandleren: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

6) Tredjemand: Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger.

7) Modtager: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.

8) Den registreredes samtykke: Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

9) Tredjeland: En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

 

Kapitel 3.- Lovens geografiske område

 

§ 4. Loven gælder for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Grønland, hvis aktiviteterne finder sted inden for Grønlands eller Det Europæiske Fællesskabs område.

Stk. 2. Loven gælder også for en dataansvarlig, som er etableret i et tredjeland, hvis

1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Grønland, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Grønlands eller Det Europæ- iske Fællesskabs område eller

2) indsamling af oplysninger i Grønland sker med henblik på behandling i et tredjeland.

Stk. 3. Dataansvarlige, som i henhold til stk. 2, nr. 1, er omfattet af denne lov, skal udpege en repræsentant, som er etableret i Grønland. Den registreredes mulighed for at foretage retslige skridt mod vedkommende dataansvarlige berø- res ikke heraf.

Stk. 4. Den dataansvarlige skal skriftligt underrette Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 3.

Stk. 5. Loven gælder, hvis der for en dataansvarlig, der er etableret i en stat, som indgår i Det Europæiske Fællesskab, behandles oplysninger i Grønland og behandlingen ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Loven gælder også, hvis der for en dataansvarlig, der er etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til det i 1. pkt. nævnte direktiv, behandles oplysninger i Grønland og behandlingen ikke er omfattet af de nævnte regler.

 

Afsnit II.- Behandlingsregler

 

Kapitel 4.- Behandling af oplysninger

 

§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

 

§ 6. Behandling af oplysninger må kun finde sted, hvis

1) den registrerede har givet sit udtrykkelige samtykke hertil,

2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en så- dan aftale,

3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige,

4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller

7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.

Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil.

Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt.

Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3.

 

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis

1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

2) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke,

3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller

4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Stk. 3. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.

Stk. 4. En stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3.

Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af lægeog sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Stk. 6. Behandling af de i stk. 1 anførte oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det kriminalretlige område.

Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen.

Stk. 8. For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

 

§ 8. For den offentlige forvaltning må der ikke behandles oplysninger om kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

Stk. 2. De i stk. 1 nævnte oplysninger må ikke videregives. Videregivelse kan dog ske, hvis

1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,

2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,

3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller

4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Stk. 3. Forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, må kun videregive de i stk. 1 nævnte oplysninger og de oplysninger, der er nævnt i § 7, stk. 1, hvis betingelserne i stk. 2, nr. 1 eller 2, er opfyldt, eller hvis videregivelsen er et nødvendigt led i sagens behandling eller nødvendig for, at en myndighed kan gennemføre tilsyns- eller kontrolopgaver.

Stk. 4. Private må behandle oplysninger om kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Stk. 5. De i stk. 4 nævnte oplysninger må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Stk. 6. Behandling af oplysninger i de tilfælde, der er reguleret i stk. 1, 2, 4 og 5, kan i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt. Stk. 7. Et fuldstændigt register over kriminalretlige domme må kun føres for en offentlig myndighed.

 

§ 9. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer, jf. § 6.

Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende gælder for de i § 6 nævnte oplysninger, som alene behandles i forbindelse med førelsen af retsinformationssystemer.

 

§ 10. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6.

Stk. 3. De af stk. 1 og 2 omfattede oplysninger må kun videregives til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden. Tilsynsmyndigheden kan stille nærmere vilkår for videregivelsen.

 

§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lov eller bestemmelser fastsat i henhold til lov,

2) den registrerede har givet sit udtrykkelige samtykke hertil eller

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

 

§ 12. Dataansvarlige, der med henblik på markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle

1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, samt

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, må dog ikke behandles. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger.

 

§ 13. Offentlige myndigheder og private virksomheder m.v. må ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner. Registrering må dog ske efter forudgående tilladelse fra tilsynsmyndigheden i tilfælde, hvor afgørende hensyn til private eller offentlige interesser taler herfor. Tilsynsmyndigheden kan fastsætte nærmere vilkår for registreringen.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis andet følger af lov, eller for så vidt angår udbydere af telenet og teletjenesters registrering af, til hvilke telefonnumre der er foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol.

 

§ 14. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i landstingslov om arkivvæsen.

 

Kapitel 5.- Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige

 

§ 15. Oplysninger om gæld til det offentlige kan efter bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, stk. 1, må ikke videregives.

Stk. 3. Fortrolige oplysninger videregivet efter reglerne i dette kapitel anses ikke af den grund for offentligt tilgængelige i øvrigt.

 

§ 16. Oplysninger om gæld til det offentlige kan videregives til et kreditoplysningsbureau, hvis

1) det følger af lov eller bestemmelser fastsat i henhold til lov eller

2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis betaling.

Stk. 2. Det er en betingelse, at den samlede gæld, jf. stk. 1, nr. 2, administreres af samme inddrivelsesmyndighed.

Stk. 3. Det er endvidere en betingelse for videregivelse efter stk. 1, nr. 2, at

1) gælden kan inddrives ved udpantning og der er fremsendt 2 rykkere til skyldneren,

2) der er foretaget eller forsøgt foretaget udlæg for kravet,

3) kravet er fastslået ved endelig dom eller

4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne gæld.

 

§ 17. Myndigheden skal give skyldneren skriftlig meddelelse herom, forinden videregivelse finder sted. Videregivelse må tidligst ske 4 uger efter, at denne meddelelse er givet.

Stk. 2. Den i stk. 1 nævnte meddelelse skal indeholde oplysninger om,

1) hvilke oplysninger der vil blive videregivet,

2) til hvilket kreditoplysningsbureau videregivelsen vil ske,

3) hvornår videregivelse vil finde sted, og

4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis betaling.

 

§ 18. Vedkommende minister kan fastsætte nærmere regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Det kan i den forbindelse bestemmes, at oplysninger om visse former for gæld til det offentlige ikke må videregives eller kun må videregives, hvis yderligere betingelser end de i § 16 nævnte er opfyldt.

 

Kapitel 6.- Kreditoplysningsbureauer

 

§ 19. Den, som ønsker at drive virksomhed med behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen påbegyndes, jf. § 50, stk. 1, nr. 3.

 

§ 20. Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.

Stk. 2. Oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, må ikke behandles.

Stk. 3. Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

 

§ 21. Kreditoplysningsbureauer skal i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om.

 

§ 22. Kreditoplysningsbureauer skal til enhver tid på begæring af den registrerede inden 4 uger på en let forståelig måde meddele denne indholdet af de oplysninger og bedømmelser, som bureauet har videregivet om den pågældende inden for de sidste 6 måneder, samt af de øvrige oplysninger, som bureauet på tidspunktet for begæringens fremsættelse opbevarer om den pågældende i bearbejdet form eller på digitalt medium, herunder foreliggende bedømmelser.

Stk. 2. Er bureauet i besiddelse af yderligere materiale om den registrerede, skal dette samtidig meddeles den pågældende med oplysning om materialets art samt om, at den registrerede kan få adgang til at gennemgå det ved personlig henvendelse til bureauet.

Stk. 3. Bureauet skal endvidere give oplysning om kategorien af modtagere af oplysningerne samt tilgængelig information om, hvorfra de i stk. 1 og 2 nævnte oplysninger stammer.

Stk. 4. Den registrerede kan forlange, at bureauet giver meddelelse som nævnt i stk. 1-3 skriftligt. Justitsministeren fastsætter regler om betaling for skriftlige meddelelser.

 

§ 23. Oplysninger om økonomisk soliditet og kreditværdighed må kun meddeles skriftligt, jf. dog § 22, stk. 1-3. Bureauet kan dog til abonnenter meddele summariske oplysninger mundtligt eller på lignende måde, såfremt spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.

Stk. 2. Kreditoplysningsbureauers publikationer må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke indeholde oplysninger om de registreredes personnummer.

Stk. 3. Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i kapitel 5, eller hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr. og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld, eller hvis der er foretaget retslige skridt mod den på- gældende. Oplysninger om endeligt godkendt gældssanering må dog ikke videregives. De i 1. og 2. pkt. nævnte regler gælder tillige for videregivelse af summariske oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.

Stk. 4. Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk soliditet og kreditværdighed for andre end de på- gældende enkeltpersoner.

 

§ 24. Oplysninger eller bedømmelser, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

 

§ 25. Er en oplysning eller bedømmelse, der viser sig urigtig eller vildledende, forinden blevet videregivet, skal bureauet straks give skriftlig underretning om berigtigelsen til den registrerede og til alle, der har modtaget oplysningen eller bedømmelsen inden for de sidste 6 måneder, før bureauet er blevet bekendt med forholdet. Den registrerede skal tillige have meddelelse om, hvem der har modtaget underretning efter 1. pkt., og hvorfra oplysningen eller bedømmelsen stammer.

 

§ 26. Henvendelser fra en registreret om sletning, berigtigelse eller blokering af oplysninger eller bedømmelser, der angives at være urigtige eller vildledende, eller om sletning af oplysninger, der ikke må behandles, jf. § 37, stk. 1, skal snarest og inden 4 uger efter modtagelsen besvares skriftligt af bureauet.

Stk. 2. Nægter bureauet at foretage den begærede sletning, berigtigelse eller blokering, kan den registrerede inden 4 uger efter modtagelsen af bureauets svar eller efter udløbet af den i stk. 1 nævnte svarfrist indbringe spørgsmålet for Datatilsynet, der træffer afgørelse om, hvorvidt der skal foretages sletning, berigtigelse eller blokering. Bestemmelsen i § 25 gælder tilsvarende.

Stk. 3. Bureauets svar skal i de i stk. 2 nævnte tilfælde indeholde oplysning om adgangen til at indbringe spørgsmålet for Datatilsynet og om fristen herfor.

 

Kapitel 7.- Overførsel af oplysninger til tredjelande

 

§ 27. Der må kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3.

Stk. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.

Stk. 3. Ud over de i stk. 1 nævnte tilfælde kan der overfø- res oplysninger til et tredjeland, såfremt

1) den registrerede har givet udtrykkeligt samtykke,

2) overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale,

3) overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand,

4) overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares,

5) overførsel er nødvendig for at beskytte den registreredes vitale interesser,

6) overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde,

7) overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning eller

8) overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.

Stk. 4. Uden for de i stk. 3 nævnte tilfælde kan tilsynsmyndigheden give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen.

Stk. 5. Overførsel af oplysninger til tredjelande kan ske uden tilladelse efter stk. 4, 1. pkt., på grundlag af kontrakter, der er i overensstemmelse med standardkontraktbestemmelser, som er godkendt af Europakommissionen.

Stk. 6. Reglerne i denne lov finder i øvrigt anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1 og 3-5.

 

Afsnit III.- Registreredes rettigheder

 

Kapitel 8.- Oplysningspligt over for den registrerede

 

§ 28. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Kategorierne af modtagere.

b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.

 

§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Hvilken type oplysninger det drejer sig om.

b) Kategorierne af modtagere.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov.

Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.

 

§ 30. Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring og retsforfølgning i kriminalsager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,

5) væsentlige økonomiske eller finansielle interesser hos Grønland, en stat, der er medlem af Den Europæiske Union, eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og

6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områ- der.

 

Kapitel 9.- Den registreredes indsigtsret

 

§ 31. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles så- danne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,

1) hvilke oplysninger der behandles,

2) behandlingens formål,

3) kategorierne af modtagere af oplysningerne og

4) tilgængelig information om, hvorfra disse oplysninger stammer.

Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgø- relsen kan forventes at foreligge.

 

§ 32. Bestemmelserne i § 30 finder tilsvarende anvendelse.

Stk. 2. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten i samme omfang som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14, som er sat i kraft for Grønland ved kongelig anordning, eller reglerne i landstingslov om offentlighed i forvaltningen § 2 samt §§ 7-11 og 14.

Stk. 3. Bestemmelsen i § 31, stk. 1, finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

Stk. 4. For behandling af oplysninger på det kriminalretlige område, der foretages for den offentlige forvaltning, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.

 

§ 33. En registreret person, der har fået meddelelse efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

 

§ 34. Meddelelser i henhold til § 31, stk. 1, skal på begæ- ring gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne. Stk. 2. Justitsministeren kan fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.

 

Kapitel 10.- Øvrige rettigheder

 

§ 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

 

§ 36. Fremsætter en forbruger indsigelse herimod, må en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

Stk. 2. Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal virksomheden tydeligt og på en forståelig måde oplyse om retten til at gøre indsigelse efter stk. 1. Forbrugeren skal samtidig gives adgang til på en nem måde inden for to uger at gøre sådan indsigelse. Oplysningerne må ikke videregives, inden fristen til at gøre indsigelse er udløbet.

Stk. 3. Virksomheden kan ikke kræve betaling for behandlingen af en indsigelse.

 

§ 37. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

 

§ 38. Den registrerede kan tilbagekalde et samtykke.

 

§ 39. Fremsætter en registreret person indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis

1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser eller

2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

Stk. 3. Den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder tilsvarende anvendelse.

 

§ 40. Den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.

 

Afsnit IV.- Sikkerhed

 

Kapitel 11.- Behandlingssikkerhed

 

§ 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger.

 

§ 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en stat, der er medlem af Den Europæiske Union, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den stat, der er medlem af Den Europæiske Union, hvor databehandleren er etableret, gælder for denne.

 

Afsnit V.- Anmeldelse

 

Kapitel 12.- Anmeldelse af behandlinger, der foretages for den offentlige forvaltning

 

§ 43. Forinden iværksættelse af en behandling af oplysninger, som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 44. Den dataansvarlige kan bemyndige andre myndigheder eller private til at foretage anmeldelse på dennes vegne.

Stk. 2. Anmeldelsen skal indeholde oplysninger om følgende:

1) Navn og adresse på den dataansvarlige, dennes eventuelle repræsentant og på en eventuel databehandler.

2) Behandlingens betegnelse og formål.

3) En generel beskrivelse af behandlingen.

4) En beskrivelse af kategorierne af registrerede og af de typer af oplysninger, der vedrører dem.

5) Modtagere eller kategorier af modtagere, som oplysningerne kan overføres til.

6) Påtænkte overførsler af oplysninger til tredjelande.

7) En generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden.

8) Tidspunktet for påbegyndelsen af behandlingen.

9) Tidspunktet for sletning af oplysningerne.

 

§ 44. Behandling, som ikke omfatter oplysninger af fortrolig karakter, er undtaget fra reglerne i § 43, jf. dog stk. 2. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om en behandling som nævnt i § 45, stk. 1.

Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

Stk. 3. Behandlinger, hvis eneste formål er at føre et register, der i henhold til lov eller regler udstedt i medfør af lov er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden, er ligeledes undtaget fra reglerne i § 43.

Stk. 4. Justitsministeren kan fastsætte regler om, at bestemte typer af behandlinger af oplysninger undtages fra bestemmelsen i § 43. Det gælder dog ikke behandlinger som nævnt i § 45, stk. 1.

 

§ 45. Forinden behandling, som er omfattet af anmeldelsespligten i § 43, iværksættes, skal Datatilsynets udtalelse indhentes, når

1) behandlingen omfatter oplysninger, der er omfattet af § 7, stk. 1, og § 8, stk. 1,

2) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer,

3) behandlingen udelukkende finder sted i videnskabeligt eller statistisk øjemed eller

4) behandlingen omfatter sammenstilling eller samkøring af oplysninger i kontroløjemed.

Stk. 2. Justitsministeren kan fastsætte regler om, at tilsynets udtalelse skal indhentes inden iværksættelsen af andre end de i stk. 1 nævnte behandlinger.

 

§ 46. Ændringer i de i § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

Stk. 2. Forinden iværksættelse af ændringer i de i § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 45, stk. 1 eller 2, skal tilsynets udtalelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

 

§ 47. I tilfælde, hvor dataansvaret er henlagt til en underordnet grønlandsk myndighed og tilsynet ikke kan tiltræde udførelsen af en behandling, forelægges sagen for vedkommende grønlandske minister, der træffer afgørelse i sagen. I tilfælde, hvor dataansvaret er henlagt til en rigsmyndighed og tilsynet ikke kan tiltræde udførelsen af en behandling, forelægges sagen for vedkommende danske minister, der træffer afgørelse i sagen.

Stk. 2. Kan tilsynet ikke tiltræde udførelsen af en behandling, som foretages for en kommunal myndighed i Grønland, forelægges sagen for ministeren med ansvaret for kommunale anliggender i Grønland, der træffer afgørelse i sagen.

 

Kapitel 13.- Anmeldelse af behandlinger, der foretages for en privat dataansvarlig

 

§ 48. Forinden iværksættelse af en behandling af oplysninger, som foretages for en privat dataansvarlig, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 49.

Stk. 2. Anmeldelsen skal indeholde de oplysninger, som fremgår af § 43, stk. 2.

 

§ 49. Behandling af oplysninger er, bortset fra de i § 50, stk. 2, angivne tilfælde, undtaget fra reglerne i § 48, når

1) behandlingen omfatter oplysninger om ansatte, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen omfatter oplysninger om ansattes helbredsforhold, i det omfang behandlingen af helbredsoplysningerne er nødvendig til opfyldelse af bestemmelser i lov eller forskrifter fastsat i henhold til lov,

3) behandlingen omfatter oplysninger om ansatte, hvis registrering er nødvendig som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet,

4) behandlingen omfatter oplysninger om kunder, leverandører eller andre forretningsforbindelser, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, eller i det omfang der ikke er tale om behandlinger som omtalt i § 50, stk. 1, nr. 4,

5) behandlingen foretages med henblik på udførelsen af markedsundersøgelser, i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

6) behandlingen foretages af en forening eller lignende, i det omfang der alene behandles oplysninger om foreningens medlemmer,

7) behandlingen foretages af advokater eller revisorer som led i deres virksomhed, i det omfang der alene behandles oplysninger vedrørende klientforhold,

8) behandlingen foretages af læger, sygeplejersker, tandlæger, kliniske tandteknikere, apotekere, terapiassistenter, kiropraktorer og lignende personer med autorisation til at udøve virksomhed inden for sundheds- og sygeplejen, i det omfang oplysningerne alene anvendes til brug ved denne virksomhed og behandlingen af oplysningerne ikke sker for et privat sygehus, eller

9) behandlingen foretages til brug ved en bedriftssundhedstjeneste.

Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

Stk. 3. Justitsministeren kan fastsætte regler om, at andre typer af behandlinger undtages fra bestemmelsen i § 48. Det gælder dog ikke behandlinger, der er omfattet af § 50, stk. 1, medmindre behandlingerne undtages efter § 50, stk. 3.

 

§ 50. Forinden iværksættelse af en behandling, som er omfattet af anmeldelsespligten i § 48, skal Datatilsynets tilladelse indhentes, når

1) behandlingen omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret,

3) behandlingen sker med henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed,

4) behandlingen sker med henblik på erhvervsmæssig bistand ved stillingsbesættelse eller

5) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer.

Stk. 2. Ved overførsel af oplysninger som nævnt i stk. 1 til tredjelande i medfør af § 27, stk. 1, og stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen, uanset at behandlingen i øvrigt er undtaget fra anmeldelse i medfør af § 49, stk. 1.

Stk. 3. Justitsministeren kan fastsætte undtagelser fra bestemmelserne i stk. 1, nr. 1, og stk. 2.

Stk. 4. Justitsministeren kan fastsætte regler om, at der forinden iværksættelse af andre anmeldelsespligtige behandlinger end de i stk. 1 eller 2 nævnte skal indhentes tilladelse fra tilsynet.

Stk. 5. Tilsynet kan i forbindelse med meddelelse af tilladelse efter stk. 1, 2 eller 4 fastsætte nærmere vilkår for udfø- relsen af behandlingerne til beskyttelse af de registreredes privatliv.

 

§ 51. Ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

Stk. 2. Forinden iværksættelse af ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 50, stk. 1, 2 eller 4, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væ- sentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

 

Kapitel 14.- Øvrige bestemmelser

 

§ 52. Databehandlere, der er etableret i Grønland, og som udøver edb-servicevirksomhed, skal forinden påbegyndelsen af behandlingen foretage anmeldelse til Datatilsynet.

 

§ 53. Tilsynsmyndigheden skal føre en fortegnelse over de behandlinger, der er anmeldt efter §§ 43 og 48. Fortegnelsen, som mindst skal indeholde de oplysninger, som er anført i § 43, stk. 2, skal være tilgængelig for offentligheden.

Stk. 2. En dataansvarlig skal stille de i § 43, stk. 2, nr. 1, 2 og 4-6, nævnte oplysninger om alle de behandlinger, som udføres for vedkommende, til rådighed for enhver, som anmoder derom.

Stk. 3. Offentlighedens adgang til indsigt i de oplysninger, der er nævnt i stk. 1, kan begrænses, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser eller afgørende hensyn til private interesser gør det påkrævet.

 

Afsnit VI.-.Tilsyn og afsluttende bestemmelser

 

Kapitel 15.- Datatilsynet

 

§ 54. Datatilsynet fører tilsyn med enhver behandling, der omfattes af loven.

 

§ 55. Datatilsynet udøver sine funktioner i fuld uafhængighed.

 

§ 56. Ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet.

 

§ 57. Datatilsynet påser af egen drift eller efter klage fra en registreret, at behandlingen finder sted i overensstemmelse med loven og regler udstedt i medfør af loven.

Stk. 2. Tilsynsmyndigheden kan i særlige tilfælde forbyde eller suspendere overførsel af personoplysninger, som er omfattet af § 27, stk. 5.

 

§ 58. Datatilsynet kan påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige, slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling.

Stk. 2. Tilsynet kan forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven.

Stk. 3. Tilsynet kan påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Stk. 4. Tilsynet kan i særlige tilfælde meddele databehandlere påbud eller forbud, jf. stk. 1-3.

 

§ 59. Datatilsynet træffer over for vedkommende myndighed afgørelse i sager vedrørende § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, §§ 28-31, § 32, stk. 1, 2 og 4, §§ 33-37 samt § 39.

Stk. 2. I andre tilfælde afgiver tilsynet udtalelser over for den dataansvarlige myndighed.

 

§ 60. Datatilsynets afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed.

 

§ 61. Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.

Stk. 2. Tilsynets medlemmer og personale har til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.

Stk. 3. Bestemmelsen i stk. 2 gælder tilsvarende for behandlinger, som foretages for private dataansvarlige, i det omfang behandlingen er omfattet af § 50.

Stk. 4. Bestemmelsen i stk. 2 gælder også, for så vidt angår den behandling, der udføres af databehandlere som nævnt i § 52.

 

§ 62. Datatilsynet kan bestemme, at anmeldelser og ansøgninger om tilladelse efter denne lov og ændringer heri kan eller skal indgives på nærmere angiven måde.

Stk. 2. For indgivelse af følgende anmeldelser og ansøgninger om tilladelser i henhold til denne lov betales 2.000 kr.:

1) Anmeldelse i henhold til § 48.

2) Tilladelse i henhold til § 50.

3) Anmeldelse i henhold til § 52.

Stk. 3. En anmeldelse som nævnt i stk. 2, nr. 1 og 3, anses først for indgivet, når betaling er sket. Datatilsynet kan bestemme, at en tilladelse som nævnt i stk. 2, nr. 2, ikke meddeles, før betaling er sket.

Stk. 4. Bestemmelserne i stk. 2, nr. 1 og 2, gælder ikke for behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed.

Stk. 5. Såfremt en behandling både skal anmeldes efter § 48 og tillades efter § 50, betales kun ét gebyr.

 

§ 63. Datatilsynet kan af egen drift eller efter anmodning fra en anden medlemsstat påse, at en behandling af oplysninger, som finder sted i Grønland, er lovlig, uanset at den pågældende behandling er undergivet lovgivningen i en stat, der er medlem af Den Europæiske Union. Bestemmelserne i §§ 58 og 61 finder tilsvarende anvendelse.

Stk. 2. Datatilsynet kan videregive oplysninger til tilsynsmyndigheder i andre stater, der er medlem af Den Europæ- iske Union, i det omfang, det er nødvendigt for at påse overholdelsen af bestemmelserne i denne lov eller af den pågældende medlemsstats databeskyttelseslovgivning.

 

Kapitel 16.- Erstatningsansvar og kriminalretligt ansvar

 

§ 64. Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

 

§ 65. Den, der i forbindelse med en behandling, som udføres for private,

1) overtræder § 4, stk. 5, § 5, stk. 2-5, § 6, § 7, stk. 1, § 8, stk. 4, 5 og 7, § 9, stk. 2, § 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og 3, § 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1. pkt., §§ 20-25, § 26, stk. 1, stk. 2, 2. pkt., og stk. 3, § 27, stk. 1, § 28, stk. 1, § 29, stk. 1, § 31, §§ 33 og 34, § 35, stk. 2, §§ 36 og 37, § 39, stk. 1 og 3, § 41, stk. 1 og 3, § 42, § 48, § 50, stk. 1 og 2, § 51, § 52 eller § 53, stk. 2,

2) undlader at efterkomme Datatilsynets afgørelse efter § 5, stk. 1, § 7, stk. 7, § 13, stk. 1, 2. pkt., § 26, stk. 2, 1. pkt., § 27, stk. 4, §§ 28 og 29, § 30, stk. 1, § 31, § 32, stk. 1 og 4, §§ 33-37, § 39 eller § 50, stk. 2,

3) undlader at efterkomme Datatilsynets krav efter § 61, stk. 1,

4) hindrer Datatilsynet i at få adgang efter § 61, stk. 3 og 4,

5) tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, § 50, stk. 5, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven eller

6) undlader at efterkomme forbud eller påbud, der er meddelt i henhold til § 58 eller i henhold til regler udstedt i medfør af loven,

kan idømmes foranstaltninger efter kriminalloven.

Stk. 2. Det samme gælder den, der i forbindelse med en behandling, som udføres for offentlige myndigheder, overtræder § 41, stk. 3, eller § 52 eller tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.

Stk. 3. Endvidere dømmes den, der i forbindelse med en behandling, som er undergivet lovgivningen i en stat, der er medlem af Den Europæiske Union, undlader at efterkomme Datatilsynets afgørelser efter § 58 eller at opfylde Datatilsynets krav efter § 61, stk. 1, eller hindrer Datatilsynet i at få adgang efter § 61, stk. 3 og 4.

Stk. 4. For overtrædelse af regler, der udstedes i medfør af loven, kan der idømmes foranstaltninger efter kriminalloven.

Stk. 5. Der kan pålægges selskaber m.v. (juridiske personer) et kriminalretligt ansvar efter reglerne i kriminallovens 5. kapitel.

 

§ 66. Den, der driver eller er beskæftiget med virksomhed som nævnt i § 50, stk. 1, nr. 2-5, eller § 52, kan ved dom for et kriminalretligt forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder kriminallovens § 165, stk. 3 og 4, anvendelse.

 

Kapitel 17.- Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.

 

§ 67. Vedkommende minister kan i særlige tilfælde fastsætte nærmere regler for behandlinger, som udføres for den offentlige forvaltning.

 

§ 68. Justitsministeren kan fastsætte nærmere regler for bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles.

 

§ 69. Brancheforeninger eller andre organer, som repræ- senterer andre kategorier af private dataansvarlige, kan i samarbejde med Datatilsynet udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i denne lov.

 

§ 70. Anordningen træder i kraft den 1. december 2016.

Stk. 2. De forskrifter, der er udstedt efter loven, gælder ikke for Grønland.

Stk. 3. Lov nr. 293 af 8. juni 1978 om private registre m.v. ophæves. Lov nr. 294 af 8. juni 1978 om offentlige myndigheders registre gælder fra anordningens ikrafttræden alene for domstolene.

Stk. 4. Klage- eller tilsynssager, der er oprettet før anordningens ikrafttræden, færdigbehandles efter de hidtil gældende regler. Datatilsynet udøver den kompetence, som efter disse regler tilkommer Registertilsynet.

Stk. 5. Datatilsynet udfører i øvrigt de opgaver, som efter lovgivningen udføres af Registertilsynet.

 

§ 71. For behandlinger, der foretages for private, og som er iværksat før anordningens ikrafttræden, skal reglerne i kapitel 13 være opfyldt senest den 1. december 2019.

Stk. 2. For behandlinger, der foretages for offentlige myndigheder, og som er iværksat før anordningens ikrafttræden, skal reglerne i kapitel 12 være opfyldt senest den 1. december 2019.

Stk. 3. Behandlinger, der er iværksat før anordningens ikrafttræden, kan fortsætte uden tilladelse i 3 år efter anordningens ikrafttræden.

Stk. 4. Der skal senest 3 år efter anordningens ikrafttræ- den foretages anmeldelse efter bestemmelsen i § 52.

Stk. 5. Justitsministeren kan efter forhandling med det grønlandske selvstyre fastsætte regler om, at den i stk. 1 og 2 nævnte frist forlænges.

Stk. 6. Tilsynsmyndigheden kan i ganske særlige tilfælde efter ansøgning bestemme, at behandlinger, der er iværksat før anordningens ikrafttræden, kan fortsætte uanset behandlingsreglerne i afsnit II.

 

§ 72. Et samtykke, som er givet i overensstemmelse med de hidtil gældende regler, gælder for behandlinger, der foretages efter lovens ikrafttræden, såfremt samtykket opfylder kravene i denne lovs § 3, nr. 8, sammenholdt med § 6, stk. 1, nr. 1, § 7, stk. 2, nr. 1, § 8, stk. 2-5, § 11, stk. 2, nr. 2, eller stk. 3, eller § 27, stk. 3, nr. 1.

 

Givet på Amalienborg, den 14. oktober 2016

 

Under Vor Kongelige Hånd og Segl

 

MARGRETHE R.

 

Søren Pind

28Dic/17

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Version consolidée au 28 décembre 2017

CHAPITRE Ier. – PRINCIPES ET DÉFINITIONS

 

Article 1er

(Modifié par la loi n° 2016-1321 du 7 octobre 2016)

L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.

 

Article 2

(Modifié par la loi n° 2004-801 du 6 août 2004)

La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.

 

Article 3

(Modifié par la loi n° 2004-801 du 6 août 2004)

I.- Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

II.- Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

 

Article 4

(Modifié par la loi n° 2004-801 du 6 août 2004)

Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

 

Article 5

(Modifié par la loi n° 2004-801 du 6 août 2004)

I.- Sont soumis à la présente loi les traitements de données à caractère personnel:

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II.- Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

 

CHAPITRE II.- CONDITIONS DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

 

Section 1.- Dispositions générales

 

Article 6

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes:

1° Les données sont collectées et traitées de manière loyale et licite;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’au chapitre IX et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs;

4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées;

5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

 

Article 7

(Modifié par la loi n° 2004-801 du 6 août 2004)

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes:

1° Le respect d’une obligation légale incombant au responsable du traitement;

2° La sauvegarde de la vie de la personne concernée;

3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci;

5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

 

Section 2.- Dispositions propres à certaines catégories de données

 

Article 8

(Modifié par la loi n° 2016-1321 du 7 octobre 2016)

I.- Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II.- Dans la mesure où la finalité du traitement l’exige pour certaines catégories de données, ne sont pas soumis à l’interdiction prévue au I:

1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l’interdiction visée au I ne peut être levée par le consentement de la personne concernée;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle;

3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical:

  • pour les seules données mentionnées au I correspondant à l’objet de ladite association ou dudit organisme;
  • sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité;
  • et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n’y consentent expressément;

4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée;

5° Les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice;

6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal;

7° Les traitements statistiques réalisés par l’Institut national de la statistique et des études économiques ou l’un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l’information statistique et dans les conditions prévues à l’article 25 de la présente loi;

8° Les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé selon les modalités prévues au chapitre IX.

III. – Si les données à caractère personnel visées au I sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l’article 25. Les dispositions du chapitre IX ne sont pas applicables.

IV.- De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et soit autorisés dans les conditions prévues au I de l’article 25 ou au II de l’article 26, soit déclarés dans les conditions prévues au V de l’article 22.

 

Article 9

(Modifié par la loi n° 2004-801 du 6 août 2004)

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par:

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales;

2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi;

3° (Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004)

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits.

 

Article 10

(Modifié par la loi n° 2004-801 du 6 août 2004)

Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

Ne sont pas regardées comme prises sur le seul fondement d’un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

 

CHAPITRE III.- LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS

 

Article 11

(Modifié par: la loi n° 2004-801 du 6 août 2004, la loi n° 2009-526 du 13 mai 2009, la loi n° 2011-334 du 29 mars 2011, la loi n° 2014-344 du 17 mars 2014, la loi n° 2016-1321 du 7 octobre 2016 et la loi n° 2017-55 du 20 janvier 2017)

La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes:

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre:

a) Elle autorise les traitements mentionnés à l’article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements;

b) Elle établit et publie les normes mentionnées au I de l’article 24 et édicte, le cas échéant, des règlements types en vue d’assurer la sécurité des systèmes;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci;

d) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel;

e) Elle informe sans délai le procureur de la République, conformément à l’article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 52;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il en est tenu compte, le cas échéant, pour la mise en œuvre des sanctions prévues au chapitre VII de la présente loi.

h) Elle répond aux demandes d’accès concernant les traitements mentionnés aux articles 41 et 42;

3° A la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements:

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont soumis;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu’elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, après qu’elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l’instruction préalable à la délivrance du label par la commission; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d’un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er;

A ce titre:

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 26 et 27, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission peut saisir pour avis l’Autorité de régulation des communications électroniques et des postes de toute question relevant de la compétence de celle-ci.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

 

 

Article 12

 (Abrogé par la loi n° 2017-55 du 20 janvier 2017)

 

Article 13

(Modifié par: la loi n° 2004-801 du 6 août 2004, la loi n° 2009-526 du 13 mai 2009, la loi organique n° 2010-704 du 28 juin 2010, la loi n° 2011-334 du 29 mars 2011, la loi n° 2011-525 du 17 mai 2011, la loi n° 2013-907 du 11 octobre 2013, l´ordonnance n° 2015-948 du 31 juillet 2015, la loi n° 2016-1321 du 7 octobre 2016 et la loi n° 2017-55 du 20 janvier 2017)

I. – La Commission nationale de l’informatique et des libertés est composée de dix-huit membres:

1° Deux députés et deux sénateurs, désignés respectivement par l’Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste;

2° Deux membres du Conseil économique, social et environnemental, élus par cette assemblée;

3° Deux membres ou anciens membres du Conseil d’Etat, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale du Conseil d’Etat;

4° Deux membres ou anciens membres de la Cour de cassation, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale de la Cour de cassation;

5° Deux membres ou anciens membres de la Cour des comptes, d’un grade au moins égal à celui de conseiller maître, élus par l’assemblée générale de la Cour des comptes;

6° Trois personnalités qualifiées pour leur connaissance du numérique ou des questions touchant aux libertés individuelles, nommées par décret;

7° Deux personnalités qualifiées pour leur connaissance du numérique, désignées respectivement par le Président de l’Assemblée nationale et par le Président du Sénat;

8° Le président de la Commission d’accès aux documents administratifs, ou son représentant.

Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son représentant.

Les deux membres désignés ou élus par une même autorité en application des 1° à 5° sont une femme et un homme. Les trois membres mentionnés au 6° comprennent au moins une femme et un homme.

Les deux membres mentionnés au 7° sont une femme et un homme. Pour l’application de cette règle, le membre succédant à une femme est un homme et celui succédant à un homme, une femme. Toutefois, le nouveau membre désigné est de même sexe que celui qu’il remplace, soit en cas de cessation du mandat avant son terme normal, soit en cas de renouvellement du mandat de l’autre membre mentionné au 7°.

Selon des modalités fixées par décret en Conseil d’Etat, le collège est, à l’exception de son président, renouvelé par moitié tous les deux ans et six mois.

Le président est nommé par décret du Président de la République parmi les membres pour la durée de son mandat. La commission élit en son sein deux vice-présidents, dont un vice-président délégué. Le président et les vice-présidents composent le bureau.

Le président exerce ses fonctions à temps plein. Sa fonction est incompatible avec toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

La durée du mandat de président est de cinq ans.

Le président de la commission reçoit un traitement égal à celui afférent à la seconde des deux catégories supérieures des emplois de l’Etat classés hors échelle.

La formation restreinte de la commission est composée d’un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau ne sont pas éligibles à la formation restreinte.

En cas de partage égal des voix, celle du président est prépondérante.

II.-Le mandat des membres de la commission est de cinq ans ; il est renouvelable une fois, sous réserve des dixième et onzième alinéas du I.

Le règlement intérieur de la commission précise notamment les règles relatives aux délibérations, à l’instruction des dossiers et à leur présentation devant la commission, ainsi que les modalités de mise en œuvre de la procédure de labellisation prévue au c du 3° de l’article 11.

 

Article 14

(Abrogé par la loi n° 2017-55 du 20 janvier 2017)

 

Article 15

(Modifié par la loi n° 2009-526 du 12 mai 2009)

Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.

En cas de partage égal des voix, la voix du président est prépondérante.

La commission peut charger le président ou le vice-président délégué d’exercer celles de ses attributions mentionnées:

  • au troisième alinéa du I de l’article 23;
  • aux e et f du 2° de l’article 11;
  • au c du 2° de l’article 11;
  • au d du 4° de l’article 11;
  • aux articles 41 et 42;
  •  à l’article 54;
  • aux deux derniers alinéas de l’article 69, à l’exception des traitements mentionnés aux I ou II de l’article 26;
  • au premier alinéa de l’article 70.

 

Article 15 bis

(Créé par la loi n° 2016-1321 du 7 octobre 2016)

La Commission nationale de l’informatique et des libertés et la Commission d’accès aux documents administratifs se réunissent dans un collège unique, sur l’initiative conjointe de leurs présidents, lorsqu’un sujet d’intérêt commun le justifie.

 

Article 16

(Modifié par la loi n° 2011-334 du 29 mars 2011)

Le bureau peut être chargé par la commission d’exercer les attributions de celle-ci mentionnées:

  • au dernier alinéa de l’article 19;
  • à l’article 25, en cas d’urgence;
  • au second alinéa de l’article 70.

 

Article 17

(Modifié par la loi n° 2011-334 du 29 mars 2011)

La formation restreinte de la commission prononce les mesures prévues au I et au 1° du II de l’article 45.

 

Article 18

(Modifié par la loi n° 2004-801 du 6 août 2004)

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.

Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ou en formation restreinte, ainsi qu’à celles des réunions de son bureau qui ont pour objet l’exercice des attributions déléguées en vertu de l’article 16 ; il est rendu destinataire de tous ses avis et décisions.

Il peut, sauf en matière de sanctions, provoquer une seconde délibération, qui doit intervenir dans les dix jours de la délibération initiale.

 

Article 19

(Modifié par: la loi n° 2004-801 du 6 août 2004 et la loi n° 2017-55 du 20 janvier 2017)

Les agents de la commission sont nommés par le président.

En cas de besoin, le vice-président délégué exerce les attributions du président.

Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l’autorité du président.

Ceux des agents qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l’article 44 doivent y être habilités par la commission; cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi.

 

Article 20

(Modifié par: la loi n° 2004-801 du 6 août 2004 et la loi n° 2017-55 du 20 janvier 2017)

Les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l’article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l’établissement du rapport annuel, à l’article 226-13 du même code.

 

Article 21

(Modifié par: la loi n° 2004-801 du 6 août 2004 et la loi n° 2017-55 du 20 janvier 2017)

Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 2° de l’article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions.

 

CHAPITRE IV.- FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE DES TRAITEMENTS

 

Article 22

(Modifié par: la loi n° 2004-801 du 6 août 2004, l´ordonnance n° 2016-462 du 14 avril 2016 et la loi n° 2016-1321 du 7 octobre 2016)  

I.- A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.

I bis.-Par dérogation au 1° des I et II de l’article 27, font également l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés les traitements qui portent sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire, lorsque ces traitements ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9, à la condition que le numéro d’inscription à ce répertoire ait préalablement fait l’objet d’une opération cryptographique lui substituant un code statistique non signifiant, ainsi que les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique. L’utilisation du code statistique non signifiant n’est autorisée qu’au sein du service statistique public. L’opération cryptographique est renouvelée à une fréquence définie par décret en Conseil d’Etat pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

II.-Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre:

1° Les traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime;

2° Les traitements mentionnés au 3° du II de l’article 8.

III. – Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.

IV.- Le responsable d’un traitement de données à caractère personnel qui n’est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l’article 31.

V.- Les traitements de données de santé à caractère personnel mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, afin de répondre, en cas de situation d’urgence, à une alerte sanitaire, au sens de l’article L. 1413-1 du code de la santé publique, sont soumis au régime de la déclaration préalable prévu au présent article. Le responsable de traitement rend compte chaque année à la Commission nationale de l’informatique et des libertés des traitements ainsi mis en œuvre.

Les conditions dans lesquelles ces traitements peuvent utiliser le numéro d’inscription au répertoire national d’identification des personnes physiques sont définies par décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés.

 

Section 1.- Déclaration

 

Article 23

(Modifié par la loi n° 2004-801 du 6 août 2004)

I.- La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.

Elle peut être adressée à la Commission nationale de l’informatique et des libertés par voie électronique.

La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé; il n’est exonéré d’aucune de ses responsabilités.

II.- Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique. Dans ce cas, les informations requises en application de l’article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

 

Article 24

(Modifié par la loi n° 2004-801 du 6 août 2004)

I.- Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration.

Ces normes précisent:

1° Les finalités des traitements faisant l’objet d’une déclaration simplifiée;

2° Les données à caractère personnel ou catégories de données à caractère personnel traitées;

3° La ou les catégories de personnes concernées;

4° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées;

5° La durée de conservation des données à caractère personnel.

Les traitements qui correspondent à l’une de ces normes font l’objet d’une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

II.- La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l’article 23.

 

Section 2.- Autorisation

 

Article 25

(Modifié par: la loi n° 2004-801 du 6 août 2004 et la loi n° 2016-1321 du 7 octobre 2016)

I.- Sont mis en oeuvre après autorisation de la Commission nationale de l’informatique et des libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27:

1° Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l’article 8;

2° Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements;

3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées;

4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire;

5° Les traitements automatisés ayant pour objet:

  • l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents;
  • l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes;

6° Les traitements portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d’inscription à celui-ci des personnes;

7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes;

8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes;

9° Par dérogation au 1° du I et aux 1° et 2° du II de l’article 27, les traitements qui portent sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire, lorsque ces traitements ont exclusivement des finalités de recherche scientifique ou historique, à la condition que le numéro d’inscription à ce répertoire ait préalablement fait l’objet d’une opération cryptographique lui substituant un code spécifique non signifiant, propre à chaque projet de recherche, ainsi que les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique. L’opération cryptographique et, le cas échéant, l’interconnexion de deux fichiers par l’utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurés par la même personne ni par le responsable de traitement. L’opération cryptographique est renouvelée à une fréquence définie par décret en Conseil d’Etat pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

II.- Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

III. – La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.

 

Article 26

(Modifié par la loi n° 2004-801 du 6 août 2004)

I.- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État et:

1° Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

L’avis de la commission est publié avec l’arrêté autorisant le traitement.

II.- Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

III. – Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.

IV. – Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

 

Article 27

(Modifié par: la loi n° 2004-801 du 6 août 2004 et la loi n°2016-1321 du 7 octobre 2016)

I.- Sont autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés:

1° Sous réserve du I bis de l’article 22 et du 9° du I de l’article 25, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques;

2° Les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

II.- Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés:

1° Sous réserve du I bis de l’article 22 et du 9° du I de l’article 25, les traitements mis en œuvre par l’Etat ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire;

2° Sous réserve du 9° du I de l’article 25, ceux des traitements mentionnés au I:

  • qui ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9;
  • qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents;
  • et qui sont mis en œuvre par des services ayant pour mission, soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des statistiques;

3° Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer;

4° Les traitements mis en oeuvre par l’Etat ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique définis à l’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.

III. – Les dispositions du IV de l’article 26 sont applicables aux traitements relevant du présent article.

IV.- Le 1° des I et II du présent article n’est pas applicable:

1° Aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, qui sont soumis au chapitre IX de la présente loi;

2° Aux traitements mis en œuvre afin de répondre à une alerte sanitaire en cas de situation d’urgence, qui sont soumis au V de l’article 22.

 

Article 28

(Modifié par la loi n° 2004-801 du 06 août 2004)

I.- La Commission nationale de l’informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

II.- L’avis demandé à la commission sur un traitement, qui n’est pas rendu à l’expiration du délai prévu au I, est réputé favorable.

 

Article 29

(Modifié par la loi n° 2004-801 du 06 août 2004)

Les actes autorisant la création d’un traitement en application des articles 25, 26 et 27 précisent:

1° La dénomination et la finalité du traitement;

2° Le service auprès duquel s’exerce le droit d’accès défini au chapitre VII;

3° Les catégories de données à caractère personnel enregistrées;

4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données;

5° Le cas échéant, les dérogations à l’obligation d’information prévues au V de l’article 32.

 

Section 3.- Dispositions communes

 

Article 30

(Modifié par la loi n° 2004-801 du 6 août 2004 et la loi n° 2006-64 du 23 janvier 2006)

I.- Les déclarations, demandes d’autorisation et demandes d’avis adressées à la Commission nationale de l’informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent:

1° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement;

5° La durée de conservation des informations traitées;

6° Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données;

8° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu à l’article 39, ainsi que les mesures relatives à l’exercice de ce droit;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne au sens des dispositions du 2° du I de l’article 5.

Les demandes d’avis portant sur les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d’information énumérés ci-dessus. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d’avis portant sur ces traitements doivent comporter au minimum.

II.- Le responsable d’un traitement déjà déclaré ou autorisé informe sans délai la commission:

  • de tout changement affectant les informations mentionnées au I ;
  • de toute suppression du traitement.

 

Article 31

(Modifié par la loi n° 2004-801 du 6 août 2004 et la loi n° 2016-1321 du 7 octobre 2016)

I.- La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l’objet d’une des formalités prévues par les articles 23 à 27, à l’exception de ceux mentionnés au III de l’article 26.

Cette liste précise pour chacun de ces traitements:

1° L’acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
2° La dénomination et la finalité du traitement;
3° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre Etat membre de la Communauté européenne, celles de son représentant;
4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu à l’article 39;
5° Les catégories de données à caractère personnel faisant l’objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication;
6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

II.- La commission tient à la disposition du public ses avis, décisions ou recommandations.

III. – La Commission nationale de l’informatique et des libertés publie la liste des Etats dont la Commission des Communautés européennes a établi qu’ils assurent un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données à caractère personnel.

 

CHAPITRE V.- OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DROITS DES PERSONNES

 

Section 1.- Obligations incombant aux responsables de traitements

 

Article 32

(Modifié par l’ordonnance n° 2011-1012 du 24 août 2011 et la loi n°2016-1321 du 7 octobre 2016)

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant:

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant;

2° De la finalité poursuivie par le traitement auquel les données sont destinées;

3° Du caractère obligatoire ou facultatif des réponses;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse;

5° Des destinataires ou catégories de destinataires des données;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne;

8° De la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II.-Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant:

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;
  • des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur:

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

III.-Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s’appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.

IV.-Si les données à caractère personnel recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

V.-Les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en oeuvre pour le compte de l’Etat et intéressant la sûreté de l’Etat, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s’appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

 

Article 33

(Modifié par la loi n° 2004-801 du 6 août 2004)

Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l’être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

 

Article 34

(Modifié par la loi n° 2004-801 du 6 août 2004)

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8.

 

Article 34 bis

(Créé par Ordonnance n° 2011-1012 du 24 août 2011)

I.- Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.
Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

II,- En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

III. – Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

 

Article 35

(Modifié par la loi n° 2004-801 du 6 août 2004)

Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

 

Article 36

(Modifié par la loi n° 2008-696 du 15 juillet 2008 et la loi n°2016-1321 du 7 octobre 2016)

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine.

Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d’archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.

Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :

  • soit avec l’accord exprès de la personne concernée ou en vertu de ses directives, formulées dans les conditions définies à l’article 40-1;
  • soit avec l’autorisation de la Commission nationale de l’informatique et des libertés;
  • soit dans les conditions prévues au 8° du II et au IV de l’article 8 s’agissant de données mentionnées au I de ce même article.

 

Article 37

(Modifié par l’ordonnance n° 2015-1341 du 23 octobre 2015)

Les dispositions de la présente loi ne font pas obstacle à l’application, au bénéfice de tiers, des dispositions du livre III du code des relations entre le public et l’administration et des dispositions du livre II du code du patrimoine.

En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l’article 34 le titulaire d’un droit d’accès aux documents administratifs ou aux archives publiques exercé conformément au livre III du code des relations entre le public et l’administration et au livre II du code du patrimoine.

 

Section 2.- Droits des personnes à l’égard des traitements de données à caractère personnel

 

Article 38

(Modifié par la loi n° 2004-801 du 6 août 2004)

Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.

Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

 

Article 39

(Modifié par la loi n° 2003-239 du 18 mars 2003 et la loi n° 2004-801 du 6 août 2004)

I.- Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir:

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

II.- Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés.

 

Article 40

(Modifié par la loi n° 2016-1321 du 7 octobre 2016) 

I.- Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

Lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l’article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu’il a effectuées conformément au premier alinéa.

II.- Sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu’il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Les deux premiers alinéas du présent II ne s’appliquent pas lorsque le traitement de données à caractère personnel est nécessaire :

1° Pour exercer le droit à la liberté d’expression et d’information ;

2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

3° Pour des motifs d’intérêt public dans le domaine de la santé publique ;

4° A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit mentionné au présent II est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;

5° A la constatation, à l’exercice ou à la défense de droits en justice.

 

Article 40-1

(Modifié par loi n° 2016-1321 du 7 octobre 2016)

I.- Les droits ouverts à la présente section s’éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants.

II.- Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières.

Les directives générales concernent l’ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés.

Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l’accès sont fixés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation.

Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés à la présente section. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel.

Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s’effectue dans le respect de la présente loi.

La personne peut modifier ou révoquer ses directives à tout moment.

Les directives mentionnées au premier alinéa du présent II peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés.

Toute clause contractuelle des conditions générales d’utilisation d’un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite.

III. – En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire:

  • à l’organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ;
  • à la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en application du troisième alinéa du présent III.

Les désaccords entre héritiers sur l’exercice des droits prévus au présent III sont portés devant le tribunal de grande instance compétent.

IV- Tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne.

 

Article 41

(Modifié par la loi n° 2004-801 du 6 août 2004)

Par dérogation aux articles 39 et 40, lorsqu’un traitement intéresse la sûreté de l’État, la défense ou la sécurité publique, le droit d’accès s’exerce dans les conditions prévues par le présent article pour l’ensemble des informations qu’il contient.

La demande est adressée à la commission qui désigne l’un de ses membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d’un agent de la commission. Il est notifié au requérant qu’il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l’État, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l’acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

 

Article 42

(Modifié par la loi n° 2004-801 du 6 août 2004)

Les dispositions de l’article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l’autorisation mentionnée aux articles 25, 26 ou 27.

 

Article 43

(Modifié par la loi n° 2004-801 du 6 août 2004)

Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L. 1111-7 du code de la santé publique.

 

Article 43 bis

(Créé par la loi n° 2016-1321 du 7 octobre 2016)

Sauf dans le cas prévu au 1° du I de l’article 26, si le responsable de traitement a collecté par voie électronique des données à caractère personnel, il permet à toute personne d’exercer par voie électronique les droits prévus au présent chapitre lorsque cela est possible.

Lorsque le responsable du traitement est une autorité administrative au sens du I de l’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, le principe énoncé au premier alinéa du présent article est mis en œuvre dans les conditions fixées aux articles L. 112-7 et suivants du code des relations entre le public et l’administration.

 

Article 43 ter

(Créé par la loi du  n° 2016-1547 du 18 novembre 2016) 

I.- Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s’appliquent à l’action ouverte sur le fondement du présent article.

II.- Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente.

III.- Cette action tend exclusivement à la cessation de ce manquement.

IV.- Peuvent seules exercer cette action :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

 

CHAPITRE VI.- LE CONTRÔLE DE LA MISE EN ŒUVRE DES TRAITEMENTS

 

Article 44

(Modifié par la loi n° 2004-801 du 6 août 2004, la loi n°2007-1787 du 20 décembre 2007, la loi n° 2011-334 du 29 mars 2011 et  la loi n°2014-344 du 17 mars 2014)

I.-Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l’article 19 ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la République territorialement compétent en est préalablement informé.

II.- Le responsable de locaux professionnels privés est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d’Etat. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.

La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite.

III.-Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autorité dont ceux-ci dépendent.

Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en oeuvre par un membre d’une profession de santé.

En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.

IV.- Pour les traitements intéressant la sûreté de l’Etat et qui sont dispensés de la publication de l’acte réglementaire qui les autorise en application du III de l’article 26, le décret en Conseil d’Etat qui prévoit cette dispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.

 

CHAPITRE VII.- SANCTIONS PRONONCÉES PAR LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS

 

Article 45

(Modifié par la loi n° 2011-334 du 29 mars 2011 et la loi n°2016-1321 du 7 octobre 2016)

I.- Lorsque le responsable d’un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’extrême urgence, ce délai peut être ramené à vingt-quatre heures.

Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.

Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes:

1° Un avertissement;

2° Une sanction pécuniaire, dans les conditions prévues à l’article 47, à l’exception des cas où le traitement est mis en œuvre par l’Etat;

3° Une injonction de cesser le traitement, lorsque celui-ci relève de l’article 22, ou un retrait de l’autorisation accordée en application de l’article 25.

Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I.

II.- Lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1er, la formation restreinte, saisie par le président de la commission, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat, après une procédure contradictoire:

1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés aux I et II de l’article 26 ou de ceux mentionnés à l’article 27 mis en œuvre par l’Etat;

2° Prononcer un avertissement visé au 1° du I;

3° Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés aux I et II de l’article 26;

4° Informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés aux mêmes I et II de l’article 26 ; le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.

III. – En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.

 

Article 46

(Modifié par la loi n° 2011-334 du 29 mars 2011 et la loi n°2016-1321 du 7 octobre 2016)

Les sanctions prévues au I et au 1° du II de l’article 45 sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents des services.

La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Elle peut ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président de la commission peut demander au bureau de rendre publique la mise en demeure prévue au deuxième alinéa du I de l’article 45. Lorsque le président de la commission prononce la clôture de la procédure dans les conditions définies au troisième alinéa du même I, la clôture fait l’objet de la même mesure de publicité que celle, le cas échéant, de la mise en demeure.

Les décisions prises par la formation restreinte au titre de l’article 45 sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’Etat.

 

Article 47

(Modifié par la loi n° 2011-334 du 29 mars 2011 et la loi n°2016-1321 du 7 octobre 2016)

Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Le montant de la sanction ne peut excéder 3 millions d’euros.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine

 

Article 48

(Modifié par la loi n° 2011-334 du 29 mars 2011)

Les pouvoirs prévus à l’article 44 ainsi qu’au I, au 1° du II et au III de l’article 45 peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre État membre de la Communauté européenne.

 

Article 49

(Modifié par la loi n° 2011-334 du 29 mars 2011)

La commission peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre État membre de l’Union européenne, procéder à des vérifications dans les mêmes conditions que celles prévues à l’article 44, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 26.

Le président de la commission ou la formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre État membre de l’Union européenne, prendre les décisions mentionnées aux articles 45 à 47 et dans les conditions prévues par ces mêmes articles, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 26.

La commission est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d’autres États membres de la Communauté européenne.

 

Article 49 bis

(Créé par la loi n° 2016-1321 du 7 octobre 2016)

La Commission nationale de l’informatique et des libertés peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne, dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel, procéder à des vérifications dans les mêmes conditions que celles prévues à l’article 44, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 26.

La commission est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans des Etats non membres de l’Union européenne, dès lors que ceux-ci offrent un niveau de protection adéquat des données à caractère personnel.

Pour la mise en œuvre du présent article, la commission conclut préalablement une convention organisant ses relations avec l’autorité exerçant des compétences analogues aux siennes. Cette convention est publiée au Journal officiel.

 

CHAPITRE VIII.- DISPOSITIONS PÉNALES

 

Article 50

(Créé par la loi n° 2004-801 du 6 août 2004)

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

 

Article 51

(Modifié par la loi n° 2011-334 du 29 mars 2011)

Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés:

1° Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 (habilitation par la commission) lorsque la visite a été autorisée par le juge;

2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître;

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

 

Article 52

(Créé par la loi n° 2004-801 du 6 août 2004)

Le procureur de la République avise le président de la Commission nationale de l’informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l’informe de la date et de l’objet de l’audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.

 

Chapitre IX.- TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AYANT POUR FIN LA RECHERCHE DANS LE DOMAINE DE LA SANTÉ

 

Article 53

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

Les traitements automatisés de données à caractère personnel ayant pour finalité la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la présente loi, à l’exception des articles 23 et 24, du I de l’article 25 et des articles 26,32 et 38.

Toutefois, le présent chapitre n’est pas applicable:

1° Aux traitements de données à caractère personnel ayant pour fin le suivi thérapeutique ou médical individuel des patients;

2° Aux traitements permettant d’effectuer des études à partir des données recueillies en application du 1° lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif;

3° Aux traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie;

4° Aux traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du code de la santé publique;

5° Aux traitements effectués par les agences régionales de santé, par l’Etat et par la personne publique désignée par lui en application du premier alinéa de l’article L. 6113-8 du même code, dans le cadre défini au même article;

6° Aux traitements mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, afin de répondre à une alerte sanitaire, dans les conditions prévues au V de l’article 22.

 

Article 54

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

I.-Les traitements de données à caractère personnel ayant une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l’informatique et des libertés, dans le respect des principes définis par la présente loi et en fonction de l’intérêt public que la recherche, l’étude ou l’évaluation présente.

II.-La Commission nationale de l’informatique et des libertés prend sa décision après avis:

1° Du comité compétent de protection des personnes mentionné à l’ article L. 1123-6 du code de la santé publique , pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine mentionnées à l’article L. 1121-1 du même code;

2° Du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine, au sens du 1° du présent II.

Le comité d’expertise est composé de personnes choisies en raison de leur compétence, dans une pluralité de disciplines. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement. Il peut prévoir l’existence de plusieurs sections au sein du comité, compétentes en fonction de la nature ou de la finalité du traitement. Le comité d’expertise est soumis à l’ article L. 1451-1 du code de la santé publique.

Le comité d’expertise émet, dans un délai d’un mois à compter de sa saisine, un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les obligations prévues par la présente loi. A défaut d’avis du comité dans le délai d’un mois, l’avis est réputé favorable. En cas d’urgence, ce délai peut être ramené à quinze jours.

Dans des conditions définies par décret en Conseil d’Etat, l’Institut national des données de santé, prévu à l’ article L. 1462-1 du code de la santé publique , peut être saisi par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation justifiant la demande de traitement ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d’un mois à compter de sa saisine.

Les dossiers présentés dans le cadre du présent chapitre, à l’exclusion des recherches mentionnées aux 1° et 2° de l’article L. 1121-1 du code de la santé publique et de celles mentionnées au 3° du même article L. 1121-1 portant sur des produits mentionnés à l’article L. 5311-1 du même code, sont déposés auprès d’un secrétariat unique, qui assure leur orientation vers les instances compétentes.

III.-Pour chaque demande, la Commission nationale de l’informatique et des libertés vérifie les garanties présentées par le demandeur pour l’application des présentes dispositions et la conformité de sa demande à ses missions ou à son objet social. Si le demandeur n’apporte pas d’éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l’ensemble des données à caractère personnel dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l’organisme qui les détient et n’autoriser le traitement que pour ces données réduites.

La commission statue sur la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

IV.-Pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, la Commission nationale de l’informatique et des libertés peut homologuer et publier des méthodologies de référence destinées à simplifier la procédure d’examen. Celles-ci sont établies en concertation avec le comité d’expertise et des organismes publics et privés représentatifs des acteurs concernés.

V.-Des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la présente loi par la Commission nationale de l’informatique et des libertés, peuvent faire l’objet d’une mise à disposition, dans des conditions préalablement homologuées par la commission, sans que l’autorisation prévue au I du présent article soit requise.

VI.-La commission peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Pour les traitements répondant à ces normes, seul un engagement de conformité à l’une d’entre elles est envoyé à la commission. Le président de la commission peut autoriser ces traitements à l’issue d’une procédure simplifiée d’examen.

Pour les autres catégories de traitements, le comité consultatif fixe, en concertation avec la Commission nationale de l’informatique et des libertés, les conditions dans lesquelles son avis n’est pas requis.

 

Article 55

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre les données à caractère personnel qu’ils détiennent dans le cadre d’un traitement de données autorisé en application de l’article 53.

Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

La présentation des résultats du traitement de données ne peut en aucun cas permettre l’identification directe ou indirecte des personnes concernées.

Les données sont reçues par le responsable désigné à cet effet par la personne physique ou morale autorisée à mettre en œuvre le traitement. Ce responsable veille à la sécurité des informations et de leur traitement, ainsi qu’au respect de la finalité de celui-ci.

Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du code pénal.

 

Article 56

Toute personne a le droit de s’opposer à ce que les données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux qui sont visés à l’article 53.

Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en oeuvre du traitement de données.

Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit.

 

Article 57

(Créé par la loi n° 2004-801 du 6 août 2004 et Modifié par la loi n°2016-41 du 26 janvier 2016)

I.- Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées:

1° De la nature des informations transmises;

2° De la finalité du traitement de données;

3° Des personnes physiques ou morales destinataires des données;

4° Du droit d’accès et de rectification institué aux articles 39 et 40;

5° Du droit d’opposition institué aux premier et troisième alinéas de l’article 56 ou, dans le cas prévu au deuxième alinéa de cet article, de l’obligation de recueillir leur consentement.

Toutefois, ces informations peuvent ne pas être délivrées si, pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l’ignorance d’un diagnostic ou d’un pronostic grave.

II.- Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet que la recherche, l’étude ou l’évaluation, il peut être dérogé, sous réserve du III, à l’obligation d’information définie au I:

1° Pour les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine;

2° Lorsque l’information individuelle se heurte à la difficulté de retrouver les personnes concernées.

Les demandes de dérogation à l’obligation d’informer les personnes de l’utilisation de données les concernant à des fins de recherche, d’étude ou d’évaluation sont justifiées dans le dossier de demande d’autorisation transmis à la Commission nationale de l’informatique et des libertés, qui statue sur ce point.

III. – Par dérogation au I, quand les recherches, les études ou les évaluations recourent à des données de santé à caractère personnel non directement identifiantes recueillies à titre obligatoire et destinées aux services ou aux établissements de l’Etat ou des collectivités territoriales ou aux organismes de sécurité sociale, l’information des personnes concernées quant à la réutilisation possible de ces données, à des fins de recherche, d’étude ou d’évaluation, et aux modalités d’exercice de leurs droits est assurée selon des modalités définies par décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés.

 

Article 58

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

Sont destinataires de l’information et exercent les droits prévus aux articles 56 et 57 les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou le représentant légal, pour les personnes faisant l’objet d’une mesure de tutelle.

Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information préalable prévue au I de l’article 57 de la présente loi peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale, s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l’exercice ultérieur, par chaque titulaire de l’exercice de l’autorité parentale, des droits d’accès, de rectification et d’opposition.

Pour les mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information prévue aux articles 56 et 57 et exerce seul ses droits d’accès, de rectification et d’opposition.

Pour les traitements mentionnés au deuxième alinéa du présent article, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits d’accès, de rectification et d’opposition.

 

Article 59

(Créé par la loi n° 2004-801 du 6 août 2004)

Une information relative aux dispositions du présent chapitre doit être assurée dans tout établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement visé à l’article 53.

 

Article 60

(Créé par la loi n° 2004-801 du 6 août 2004)

La mise en oeuvre d’un traitement de données en violation des conditions prévues par le présent chapitre entraîne le retrait temporaire ou définitif, par la Commission nationale de l’informatique et des libertés, de l’autorisation délivrée en application des dispositions de l’article 54.

Il en est de même en cas de refus de se soumettre aux vérifications prévues par le f du 2° de l’article 11.

 

Article 61

(Modifié par la loi n° 2016-41 du 26 janvier 2016)

La transmission vers un Etat n’appartenant pas à l’Union européenne de données à caractère personnel non codées faisant l’objet d’un traitement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé n’est autorisée, dans les conditions prévues à l’article 54, que sous réserve du respect des règles énoncées au chapitre XII.

 

Chapitre X.- TRAITEMENTS DE DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL À DES FINS D’ÉVALUATION OU D’ANALYSE DES PRATIQUES OU DES ACTIVITÉS DE SOINS ET DE PRÉVENTION

(Abrogé par la loi n° 2016-41 du 26 janvier 2016)

 

Chapitre XI.- TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AUX FINS DE JOURNALISME ET D’EXPRESSION LITTÉRAIRE ET ARTISTIQUE

 

Article 67

(Modifié par la loi n° 2016-1321 du 7 octobre 2016)

Le 5° de l’article 6, les articles 8, 9, 22, les 1° et 3° du I de l’article 25, les articles 32, et 39, le I de l’article 40 et les articles 68 à 70 ne s’appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins:

1° D’expression littéraire et artistique;

2° D’exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession.

Toutefois, pour les traitements mentionnés au 2°, la dispense de l’obligation de déclaration prévue par l’article 22 est subordonnée à la désignation par le responsable du traitement d’un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en oeuvre par ce responsable et d’assurer, d’une manière indépendante, l’application des dispositions de la présente loi. Cette désignation est portée à la connaissance de la Commission nationale de l’informatique et des libertés.

En cas de non-respect des dispositions de la loi applicables aux traitements prévus par le présent article, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de se mettre en conformité avec la loi. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.

Les dispositions des alinéas précédents ne font pas obstacle à l’application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d’exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes.

 

Chapitre XII.- TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES ÉTATS N’APPARTENANT PAS À LA COMMUNAUTÉ EUROPÉENNE

 

Article 68

(Créé par la loi n° 2004-801 du 6 août 2004)

Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet.

Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.

 

Article 69

(Créé par la loi n° 2004-801 du 6 août 2004)

Toutefois, le responsable d’un traitement peut transférer des données à caractère personnel vers un État ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes:

1° A la sauvegarde de la vie de cette personne;

2° A la sauvegarde de l’intérêt public;

3° Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice;

4° A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime;

5° A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci;

6° A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés ou, s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’État pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

La Commission nationale de l’informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres États membres de la Communauté européenne les décisions d’autorisation de transfert de données à caractère personnel qu’elle prend au titre de l’alinéa précédent.

 

Article 70

(Créé par la loi n° 2004-801 du 6 août 2004)

Si la Commission des Communautés européennes a constaté qu’un État n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données à caractère personnel, la Commission nationale de l’informatique et des libertés, saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet État, délivre le récépissé avec mention de l’interdiction de procéder au transfert des données.

Lorsqu’elle estime qu’un État n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données, la Commission nationale de l’informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu’elle est saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet État, la Commission nationale de l’informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l’État vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l’État vers lequel le transfert est envisagé n’assure pas un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement l’interdiction de procéder au transfert de données à caractère personnel à destination de cet État.

 

Chapitre XIII.- DISPOSITIONS DIVERSES

 

Article 71

(Modifié par la loi n° 2016-1321 du 7 octobre 2016)

Des décrets en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixent les modalités d’application de la présente loi. L’avis rendu sur les décrets relatifs à l’application du I bis de l’article 22 et du 9° du I de l’article 25 est motivé et publié.

 

Article 72

(Modifié par la loi n° 2016-1321 du 7 octobre 2016)

La présente loi est applicable, dans sa rédaction résultant de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises.

Par dérogation aux dispositions du cinquième alinéa du II de l’article 54, le comité d’expertise dispose d’un délai de deux mois pour transmettre son avis au demandeur lorsque celui-ci réside dans l’une de ces collectivités. En cas d’urgence, ce délai peut être ramené à un mois.

08Jul/17

Disposición 55-E/2016, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP)

Disposición 55-E/2016, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP), que aprueba el «Procedimiento de Inspección y Control de la Dirección Nacional de Protección de Datos Personales» de 2016.

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 55-E/2016

Ciudad de Buenos Aires, 25 de octubre de 2016

VISTO el Expediente nº EX-2016-00206789- -APN-DNPDP del registro de este Ministerio, la Ley nº 25.326 y su Decreto Reglamentario nº 1558 del 29 de noviembre de 2001, modificado por su similar nº 1160 del 11 de agosto de 2010 y la Disposición nº 3 del 31 de julio de 2012 de esta Dirección Nacional, y

CONSIDERANDO:

Que la Ley nº 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Que es facultad de esta Dirección Nacional diseñar los instrumentos que considere adecuados para la mejor protección de los datos personales y para el cumplimiento de sus funciones y atribuciones.

Que de conformidad con lo establecido en el artículo 29, inciso 1, apartados b) y e), de la Ley nº 25.326, se encuentran entre sus funciones y atribuciones, las de dictar las normas y reglamentaciones que se deben observar en el desarrollo de sus actividades; y las de solicitar la información pertinente a las entidades públicas y privadas, en orden a proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos que se le requieran.

Que asimismo tiene la facultad de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326, conforme el artículo 29, inciso 1, apartado d), de la mencionada norma.

Que se ha iniciado un proceso de revisión interna de los procedimientos sobre inspecciones a efectos de hacerlo más eficiente y fortalecer el rol de órgano de control de esta Dirección Nacional.

Que, con la sanción de la Ley nº 26.951, que crea el Registro Nacional «No llame», se establece que esta Dirección Nacional es su autoridad de aplicación, conforme su artículo 9°.

Que, por lo tanto, se impone ampliar el control que lleva a cabo este organismo a fin de fiscalizar el cumplimiento de las obligaciones que impone la norma citada en el párrafo precedente.

Que, por todo lo expuesto, deviene necesario derogar el procedimiento de inspección aprobado por la Disposición DNPDP nº 3/12, aprobando un nuevo procedimiento de inspección y control.

Que ha tomado la intervención que le compete la Dirección General de Asuntos Jurídicos de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, inciso 1, apartado b) de la Ley nº 25.326 y el artículo 29, inciso 5, apartado a) del Anexo I del Decreto nº 1558/01 y su modificatorio.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

DISPONE:

Artículo 1°.- Derógase la Disposición DNPDP N° 3 del 31 de julio de 2012.

Artículo 2°.- Apruébase el “Procedimiento de Inspección y Control de la Dirección Nacional de Protección de Datos Personales” que se dispone en el Anexo IF-2016-02519312-APN-DNPDP y que forma parte de la presente.

Artículo 3°.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

ANEXO I.- “PROCEDIMIENTO DE INSPECCIÓN Y CONTROL DE LA DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES”

1) Objetivos de las inspecciones

a) Fiscalizar y controlar las actividades del responsable del tratamiento de datos, los datos personales que administra, y los medios y la forma en que lo hace.

b) Evaluar el grado de cumplimiento conforme lo dispuesto por la Ley nº 25.326, la Ley nº 26.951, y demás normativa aplicable en el marco de la competencia de la Dirección Nacional de Protección de Datos Personales (DNPDP), con el objeto de:

I) detectar incumplimientos a la normativa vigente; y

II) realizar los requerimientos necesarios para adecuar el tratamiento de datos a la normativa vigente.

2) Competencia

Las facultades de la DNPDP para llevar adelante las inspecciones están establecidas en las siguientes normas:

Artículo 29, inciso 1, apartado d), Ley nº 25.326: “Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley”.

Artículo 29, inciso 1, apartado e), Ley nº 25.326: “Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados”.

3) Alcance de la inspección

Las inspecciones abarcarán los siguientes aspectos, sin perjuicio de otros que puedan contemplarse al momento de llevarse a cabo:

a) Licitud de las bases de datos (artículos 3°, 21 y 24, Ley nº 25.326).

b) Calidad de los datos tratados (artículo 4°, Ley nº 25.326).

c) Consentimiento del titular del dato e información (artículos 5° y 6°, Ley nº 25.326).

d) Cumpliento de los principios de categrías de datos, seguridad y confidencialidad (artículos 7°, 9° y 10, Ley nº 25.326).

e) Requisitos de la cesión de datos y transferencia internacional de datos (artículos 11 y 12, Ley nº 25.326).

f) Ejercicio de los derechos de los titulares del dato (artículos 14, 15, 16 y 19, Ley nº 25.326).

g) Prestación de servicios de información crediticia (artículo 25, Ley nº 25.326).

h) Tratamiento de datos con fines de publicidad (artículo 27, Ley nº 25.326; Ley N° 26.951).

4) Tipos de inspección

a) De oficio: aquellas que la DNPDP inicia en ejercicio de sus facultades de fiscalización. Se dividen en:

I) Planificadas: las que surgen de la planificación anual.

II) Espontáneas: las que se originan en razones que llegan a conocimiento de la DNPDP, y que pueden impactar en la protección de datos personales y en el derecho a la privacidad.

b) Por denuncia: aquellas que se inician en el marco de una investigación que se sustancia a raiz de una denuncia interpuesta ante la DNPDP. La inspección en este caso tiene el carácter de medida probatoria del sumario administrativo.

5) Planificación de las inspecciones

La DNPDP implementará una planificación de las inspecciones que se llevarán a cabo durante un período determinado, sin perjuicio de otras que puedan ser ordenadas de forma espontánea o como consecuencia de un sumario administrativo.

La selección de los sujetos a inspeccionar estará basada en criterios objetivos de selección, tales como categorías de datos procesados; impacto del tratamiento de datos sobre la privacidad; cantidad de denuncias recibidas; tipo de denuncias recibidas; incumplimiento del deber de inscripción o renovación ante el RNBD.

El proceso de selección se sustanciará mediante un expediente administrativo y tendrá el objeto de identificar a los responsables de tratamientos de datos, sectores o grupos sobre los cuáles se llevaran a cabo las inspecciones. En las actuaciones se dejará constancia del o los criterios objetivos de selección utilizados.

6) Procedimiento de la inspección

a) Apertura del expediente y notificación al responsable sujeto a inspección

Se procederá a la apertura de un expediente administrativo por cada responsable sujeto a inspección seleccionado.

Mediante una providencia se identificarán los inspectores a cargo de cada actuación, quienes actuarán en forma conjunta y/o indistinta.

Se notificará la apertura del procedimiento y se requerirá completar y remitir en un plazo de QUINCE (15) días hábiles administrativos el Formulario de Inspección, debiendo el inspeccionado adjuntar la documentación respaldatoria de sus respuestas. El formulario será puesto a disposición del inspeccionado como anexo de la primera notificación o a través de la página web de la DNPDP, mediante la indicación de su URL para su descarga.

En los casos en los que se considere que la notificación previa pueda afectar el resultado de la inspección, aquella podrá omitirse mediante acto fundado. En estos casos se procederá directamente a llevar a cabo la visita presencial de los inspectores prevista en el punto 6.c de la presente.

b) Programación y notificación de las visitas presenciales

Recibido el formulario de inspección, se programarán las visitas presenciales que llevaran a cabo los inspectores.

La fecha, hora y lugar de la visita presencial se notificará con una antelación no menor a DIEZ (10) días hábiles administrativos. En la notificación podrán incluirse los requerimientos que a criterio del inspector resulten necesarios, y que podrán cumplirse por el inspeccionado hasta la fecha de la visita presencial.

c) Visita presencial

Los inspectores se harán presentes en domicilio denunciado por el inspeccionado, a los fines de la visita presencial, para acceder a locales, equipos o programas de tratamientos de datos personales y verificar el correcto cumplimiento de las obligaciones establecidas por la Ley nº 25.326.

Presentación: Los inspectores, previa acreditación, procederán a informar los objetivos y procedimiento de la inspección y verificarán las identidades de los representantes del responsable de tratamiento, corroborando la correspondiente personería o autorización.

Alcance: La inspección abarcará los aspectos jurídicos y técnicos del tratamiento de datos personales y su adecuación a las exigencias de la normativa vigente.

Para la realización de la inspección técnica, se podrán llevar a cabo todas las acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad de datos.

Metodología: Con el objeto de formar un juicio objetivo, se emplearán las siguientes técnicas:

I) Verificaciones verbales: se llevarán a cabo entrevistas al personal del inspeccionado para obtener información verbal sobre los tratamientos de datos efectuados;

II) Verificaciones oculares: mediante la observación, se constatará el cumplimiento de aquellas obligaciones que permitan ser corroboradas visualmente;

III) Verificaciones documentales: análisis de los documentos aportados;

IV) Verificaciones técnicas: mediante las acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad de datos.

Acta: En la visita presencial se labrará un Acta de Inspección, que podrá contener observaciones y requerimientos que a criterio del inspector sean necesarios, sin perjuicio de otros que eventualmente surjan en etapas procedimentales posteriores.

El Acta será suscripta por todos por los inspectores intervinientes y por al menos un representante del inspeccionado que acredite personería o autorización. Si el representante del inspeccionado se negare a firmar, se dejará debida constancia en el Acta, la que será suscripta sólo por los inspectores intervinientes.

En el caso que la inspección técnica deba realizarse en un local distinto al de la visita presencial, se hará constar dicha circunstancia en el Acta, determinando fecha y lugar de realización. Al momento de realizar la inspección técnica en local distinto, se labrará nueva Acta.

Autorización judicial para acceso a locales, equipos y programas: En caso de que resultare necesario solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326, el inspector deberá elaborar un informe al Jefe de Departamento de Investigación y Difusión, o la unidad orgánica que eventualmente lo sustituya, quién elevará la respectiva petición al Director Nacional. En caso de compartir el criterio, se formulará el correspondiente requerimiento.

d) Cierre de la inspección

Con la información obtenida en las distintas etapas del procedimiento de inspección, los inspectores elaborarán y suscribirán un Informe Final en el que se establezca el nivel de cumplimiento del responsable inspeccionado.

Incorporado el Informe Final a las actuaciones, se procederá al cierre de la inspección mediante un acto que será subscripto por el Jefe de Departamento de Investigación y Difusión, o la unidad orgánica que eventualmente lo sustituya. Tanto el Informe Final como el acto de cierre serán notificados al inspeccionado.

Si en el Informe Final no se hubieran formulado observaciones, se procederá al archivo de las actuaciones. En caso contrario, las actuaciones pasarán a la etapa de seguimiento, sin perjuicio de la potestad del Director Nacional de ordenar la sustanciación de un sumario administrativo a fin de verificar la posible comisión de infracciones conforme Disposición DNPDP nº 7/15, concordantes y modificatorias.

e) Seguimiento de las inspecciones

En esta etapa se controlorá que el inspeccionado de cumplimiento a los requerimientos dispuestos para subsanar las observaciones señaladas en el Informe Final. A esos efectos, se lo intimará por el plazo de QUINCE (15) días hábiles administrativos.

En aquellos casos en los que el responsable no acredite su cumplimiento en tiempo y forma, se promoverá la sustanciación del correspondiente sumario administrativo.

Cumplidos la totalidad de los requerimientos en tiempo y forma, se dispondrá el archivo las actuaciones.

07Jul/17

Disposición 71-E/2016 de la Dirección Nacional de Protección de Datos Personales (DNPDP)

Disposición 71-E/2016 de la Dirección Nacional de Protección de Datos Personales (DNPDP). Nuevos topes máximos a la Graduación de Sanciones por idéntica conducta

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 71- E/2016

Ciudad de Buenos Aires, 13 de diciembre de  2016

VISTO el Expediente n° EX 2016-00311622-APN-DNPDP del registro de este Ministerio, las Leyes nº 25.326 y 26.951 y sus reglamentaciones aprobadas por los Decretos nº 1558 del 29 de noviembre de 2001 y 2501 del 17 de diciembre de 2014, respectivamente y la Disposición DNPDP nº 7 del 8 de noviembre de 2005 y sus modificatorias, y

CONSIDERANDO:

Que entre las atribuciones asignadas a esta Dirección Nacional se encuentra la de dictar las normas reglamentarias que se deben observar en el desarrollo de las actividades comprendidas por las Leyes nº 25.326 y 26.951.

Que esta Dirección Nacional es la Autoridad de Aplicación de ambas normas legales, contando con la facultad de imponer sanciones en caso de incumplimientos a lo por ellas normado.

Que por la Disposición DNPDP n° 7/05 y sus modificatorias se ha fijado el régimen de “Clasificación de Infracciones” y “Graduación de Sanciones” aplicable.

Que el punto 7 del Anexo II a la disposición citada establece que “Cada infracción deberá ser sancionada en forma independiente, debiendo acumularse cuando varias conductas sancionables se den en las mismas actuaciones”.

Que se ha observado que la aplicación de algunas de las sanciones previstas, cuando se trate de un cúmulo elevado de infracciones en las mismas actuaciones, daría lugar a montos muy altos que resultarían contrarios al logro de la finalidad preventiva o disuasoria de la sanción.

Que ello colocaría al sancionado en un estado de imposibilidad de pago y llevaría a interpretar el monto final de estas multas como confiscatorio o irrazonable, razón por la cual se estima necesario fijar topes al monto de las multas que pudieren resultar, teniendo en consideración que esa determinación brindará mayor razonabilidad y proporcionalidad al castigo impuesto, entendiendo ello como una exigencia de congruencia entre la entidad de las infracciones y la gravedad de las sanciones.

Que la Corte Suprema de Justicia de la Nación ha sostenido que “…la circunstancia de que la Administración obrase en ejercicio de facultades discrecionales, en manera alguna puede aquí constituir un justificativo de su conducta arbitraria; puesto que es precisamente la razonabilidad con que se ejercen tales facultades el principio que otorga validez a los actos de los órganos del Estado y que permite a los jueces, ante planteos concretos de parte interesada, verificar el cumplimiento de dicha exigencia” (Industria Maderera Lanín, Fallos 298:223) y que “…la facultad de graduación de una multa entre el mínimo y el máximo previsto por ley no escapa al control de razonabilidad que corresponde al Poder Judicial respecto de la Administración Pública, incluso cuando se trata de facultades discrecionales. Ello, pues la discrecionalidad no implica en modo alguno una libertad de apreciación extralegal, que obste una revisión judicial de la proporción o ajuste de la alternativa punitiva elegida por la autoridad, respecto de las circunstancias comprobadas, de acuerdo a la finalidad de la ley” (Prefectura Naval Argentina, Fallos 321:3103).

Que la doctrina ha sostenido que “Con acierto se ha escrito que el vicio de un acto afectado por exceso de punición es determinante de su irrazonabilidad, y que ésta se concreta en la falta de concordancia o proporción entre la pena aplicada y el comportamiento que motivó su aplicación. En otros términos, que la razonabilidad implica congruencia, adecuación de relación de medio a fin; el exceso identifica lo irrazonable (Marienhoff, Miguel S., “El exceso de punición como vicio del acto administrativo”, LL, 1989,- E, 969”) e implica “una violación del principio recogido en el Artículo 7º, inc. f, primer párrafo, in fine, de la Ley de Procedimientos Administrativos, que expresamente establece que las medidas que el acto involucre deben ser proporcionalmente adecuadas a las finalidades que resulten de las normas que asignan las facultades pertinentes al órgano emisor del acto”, de modo que “…el exceso de punición … no es sino, en definitiva, una variante de irrazonabilidad como vicio posible de todo acto jurídico estatal. En este orden de ideas una norma o un acto será excesivo en su punición cuando la sanción imponible impuesta a un particular no guarde adecuada proporcionalidad con la télesis represiva que sustentó -es razonable suponer- tanto el dictado de la norma como la emisión del acto individual que hace aplicación de ella” (Comadira, Julio Rodolfo, “Procedimientos Administrativos” Tomo I, pag. 331 Edit. La Ley).

Que a los fines de determinar el tope máximo de multa a aplicar se ha tomado como referencia el monto máximo de las multas establecidas en el artículo 47 de la Ley nº 24.240, sobre Protección y Defensa de los Consumidores, que regula las sanciones que puede aplicar la Autoridad de Aplicación de la mencionada ley y prevé multas de PESOS CIEN ($ 100.-) a PESOS CINCO MILLONES ($ 5.000.000.-).

Que ha tomado intervención el servicio permanente de asesoramiento jurídico de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas por los artículos 29, inciso 1, apartado b) de la Ley nº 25.326 y 29, inciso 5, apartado a) del Anexo I al Decreto nº 1558/01 y 9° de la Ley n° 26.951.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

DISPONE:

Artículo 1°.- Establécese que cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de “Graduación de Sanciones” previsto por la Disposición DNPDP nº 7/05 y sus modificatorias, deberán aplicarse los siguientes topes máximos: a) para las infracciones leves: PESOS UN MILLÓN ($ 1.000.000.-), b) para las infracciones graves: PESOS TRES MILLONES ($ 3.000.000.-) y c) para las infracciones muy graves: PESOS CINCO MILLONES ($ 5.000.000.-),

Artículo 2°.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

 

24Abr/17

Ley General de Protección de Datos Personales en posesión de sujetos obligados

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

 

TEXTO VIGENTE

Nueva Ley publicada en el Diario Oficial de la Federación el 26 de enero de 2017

 

 

 

ENRIQUE PEÑA NIETO, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:

 

Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente

 

DECRETO

 

EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, D E C R E T A:

 

SE EXPIDE LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

 

Artículo Único.- Se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

 

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

 

TÍTULO PRIMERO.- DISPOSICIONES GENERALES

 

Capítulo I.- Del Objeto de la Ley

 

Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados.

 

Todas las disposiciones de esta Ley General, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal.

 

El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables.

 

Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados.

 

Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

 

Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

 

En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

 

Artículo 2.- Son objetivos de la presente Ley:

 

I.- Distribuir competencias entre los Organismos garantes de la Federación y las Entidades Federativas, en materia de protección de datos personales en posesión de sujetos obligados;

 

II.- Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos;

 

III.- Regular la organización y operación del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales a que se refieren esta Ley y la Ley General de Transparencia y Acceso a la Información Pública, en lo relativo a sus funciones para la protección de datos personales en posesión de sujetos obligados;

 

IV.- Garantizar la observancia de los principios de protección de datos personales previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

V.- Proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, de la Federación, las Entidades Federativas y los municipios, con la finalidad de regular su debido tratamiento;

 

VI.- Garantizar que toda persona pueda ejercer el derecho a la protección de los datos personales;

 

VII.- Promover, fomentar y difundir una cultura de protección de datos personales;

 

VIII.- Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta Ley, y

 

IX.- Regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales por parte de los Organismos garantes locales y de la Federación; de conformidad con sus facultades respectivas.

 

Artículo 3.- Para los efectos de la presente Ley se entenderá por:

 

I.- Áreas: Instancias de los sujetos obligados previstas en los respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales;

 

II.- Aviso de privacidad: Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos;

 

III.- Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;

 

IV.- Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponda;

 

V.- Comité de Transparencia: Instancia a la que hace referencia el artículo 43 de la Ley General de Transparencia y Acceso a la Información Pública;

 

VI.- Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente;

 

VII.- Consejo Nacional: Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales a que se refiere el artículo 32 de la Ley General de Transparencia y Acceso a la Información Pública;

 

VIII.- Consentimiento: Manifestación de la voluntad libre, específica e informada del titular de los datos mediante la cual se efectúa el tratamiento de los mismos;

 

IX.- Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;

 

X.- Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;

 

XI.- Derechos ARCO: Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales;

 

XII.- Días: Días hábiles;

 

XIII.- Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo;

 

XIV.- Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee;

 

XV.- Encargado: La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable;

 

XVI.- Evaluación de impacto en la protección de datos personales: Documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable;

 

XVII.- Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás normativa aplicable;

 

XVIII.- Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, el cual es el organismo garante de la Federación en materia de protección de datos personales en posesión de los sujetos obligados;

 

XIX.- Medidas compensatorias: Mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros de amplio alcance;

 

XX.- Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales;

 

XXI.- Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;

 

XXII.- Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

 

a)     Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;

 

b)    Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;

 

c)     Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, y

 

d)    Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;

 

XXIII.- Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

 

a)     Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;

 

b)    Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

 

c)     Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y

 

d)    Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales;

 

XXIV.-   Organismos garantes: Aquellos con autonomía constitucional especializados en materia de acceso a la información y protección de datos personales, en términos de los artículos 6o. y 116, fracción VIII de la Constitución Política de los Estados Unidos Mexicanos;

 

XXV. – Plataforma Nacional: La Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la Ley General de Transparencia y Acceso a la Información Pública;

 

XXVI.- Programa Nacional de Protección de Datos Personales: Programa Nacional de Protección de Datos Personales;

 

XXVII.- Remisión: Toda comunicación de datos personales realizada exclusivamente entre el responsable y encargado, dentro o fuera del territorio mexicano;

 

XXVIII.- Responsable: Los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales;

 

XXIX.- Sistema Nacional: El Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales;

 

XXX.- Supresión: La baja archivística de los datos personales conforme a la normativa archivística aplicable, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable;

 

XXXI.- Titular: La persona física a quien corresponden los datos personales;

 

XXXII.- Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado;

 

XXXIII.- Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales, y

 

XXXIV.- Unidad de Transparencia: Instancia a la que hace referencia el artículo 45 de la Ley General de Transparencia y Acceso a la Información Pública.

 

Artículo 4.- La presente Ley será aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

 

Artículo 5.- Para los efectos de la presente Ley, se considerarán como fuentes de acceso público:

 

I.- Las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general;

 

II.- Los directorios telefónicos en términos de la normativa específica;

 

III.– Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa;

 

IV.- Los medios de comunicación social, y

 

V.- Los registros públicos conforme a las disposiciones que les resulten aplicables.

 

Para que los supuestos enumerados en el presente artículo sean considerados fuentes de acceso público será necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una contra prestación, derecho o tarifa. No se considerará una fuente de acceso público cuando la información contenida en la misma sea o tenga una procedencia ilícita.

 

Artículo 6.- El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente.

 

El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

 

Artículo 7.- Por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley.

 

En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables.

 

Artículo 8.- La aplicación e interpretación de la presente Ley se realizará conforme a lo dispuesto en la Constitución Política de los Estados Unidos Mexicanos, los Tratados Internacionales de los que el Estado mexicano sea parte, así como las resoluciones y sentencias vinculantes que emitan los órganos nacionales e internacionales especializados, favoreciendo en todo tiempo el derecho a la privacidad, la protección de datos personales y a las personas la protección más amplia.

 

Para el caso de la interpretación, se podrán tomar en cuenta los criterios, determinaciones y opiniones de los organismos nacionales e internacionales, en materia de protección de datos personales.

 

Artículo 9.- A falta de disposición expresa en la presente Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo.

 

Las leyes de las Entidades Federativas, en el ámbito de sus respectivas competencias, deberán determinar las disposiciones que les resulten aplicables en materia supletoria a los Organismos garantes en la aplicación e interpretación de esta Ley.

 

Capítulo II.- Del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

 

Artículo 10.- El Sistema Nacional se conformará de acuerdo con lo establecido en la Ley General de Transparencia y Acceso a la Información Pública. En materia de protección de datos personales, dicho Sistema tiene como función coordinar y evaluar las acciones relativas a la política pública transversal de protección de datos personales, así como establecer e implementar criterios y lineamientos en la materia, de conformidad con lo señalado en la presente Ley, la Ley General de Transparencia y Acceso a la Información Pública y demás normatividad aplicable.

 

Artículo 11.- El Sistema Nacional contribuirá a mantener la plena vigencia del derecho a la protección de datos personales a nivel nacional, en los tres órdenes de gobierno.

 

Este esfuerzo conjunto e integral, aportará a la implementación de políticas públicas con estricto apego a la normatividad aplicable en la materia; el ejercicio pleno y respeto del derecho a la protección de datos personales y la difusión de una cultura de este derecho y su accesibilidad.

 

Artículo 12.- Además de los objetivos previstos en la Ley General de Transparencia y Acceso a la Información Pública, el Sistema Nacional tendrá como objetivo diseñar, ejecutar y evaluar un Programa Nacional de Protección de Datos Personales que defina la política pública y establezca, como mínimo, objetivos, estrategias, acciones y metas para:

 

I.- Promover la educación y una cultura de protección de datos personales entre la sociedad mexicana;

 

II.- Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición;

 

III.- Capacitar a los sujetos obligados en materia de protección de datos personales;

 

IV.- Impulsar la implementación y mantenimiento de un sistema de gestión de seguridad a que se refiere el artículo 34 de la presente Ley, así como promover la adopción de estándares nacionales e internacionales y buenas prácticas en la materia, y

 

V.- Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas.

 

El Programa Nacional de Protección de Datos Personales, se constituirá como un instrumento rector para la integración y coordinación del Sistema Nacional, y deberá determinar y jerarquizar los objetivos y metas que éste debe cumplir, así como definir las líneas de acción generales que resulten necesarias.

 

El Programa Nacional de Protección de Datos Personales deberá evaluarse y actualizarse al final de cada ejercicio anual y definirá el conjunto de actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio.

 

Artículo 13.- El Sistema Nacional contará con un Consejo Nacional. En la integración, organización, funcionamiento y atribuciones del Consejo Nacional se estará a lo dispuesto por la Ley General de Transparencia y Acceso a la Información Pública y demás disposiciones aplicables.

 

Artículo 14.- El Sistema Nacional, además de lo previsto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable, tendrá las siguientes funciones en materia de protección de datos personales:

 

I.- Promover el ejercicio del derecho a la protección de datos personales en toda la República Mexicana;

 

II.- Fomentar entre la sociedad una cultura de protección de los datos personales;

 

III.- Analizar, opinar y proponer a las instancias facultadas para ello proyectos de reforma o modificación de la normativa en la materia;

 

IV.- Acordar y establecer los mecanismos de coordinación que permitan la formulación y ejecución de instrumentos y políticas públicas integrales, sistemáticas, continuas y evaluables, tendentes a cumplir con los objetivos y fines del Sistema Nacional, de la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

V.- Emitir acuerdos y resoluciones generales para el funcionamiento del Sistema Nacional;

 

VI.- Formular, establecer y ejecutar políticas generales en materia de protección de datos personales;

 

VII.- Promover la coordinación efectiva de las instancias que integran el Sistema Nacional y dar seguimiento a las acciones que para tal efecto se establezcan;

 

VIII.- Promover la homologación y desarrollo de los procedimientos previstos en la presente Ley y evaluar sus avances;

 

IX.- Diseñar e implementar políticas en materia de protección de datos personales;

 

X.- Establecer mecanismos eficaces para que la sociedad participe en los procesos de evaluación de las políticas y las instituciones integrantes del Sistema Nacional;

 

XI.- Desarrollar proyectos comunes de alcance nacional para medir el cumplimiento y los avances de los responsables;

 

XII.- Suscribir convenios de colaboración que tengan por objeto coadyuvar al cumplimiento de los objetivos del Sistema Nacional y aquellos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

XIII.- Promover e implementar acciones para garantizar condiciones de accesibilidad para que los grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales;

 

XIV.- Proponer códigos de buenas prácticas o modelos en materia de protección de datos personales;

 

XV.- Promover la comunicación y coordinación con autoridades nacionales, federales, de los Estados, municipales, autoridades y organismos internacionales, con la finalidad de impulsar y fomentar los objetivos de la presente Ley;

 

XVI.- Proponer acciones para vincular el Sistema Nacional con otros sistemas y programas nacionales, regionales o locales;

 

XVII.- Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales, a través de la implementación, organización y operación de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable;

 

XVIII.- Aprobar el Programa Nacional de Protección de Datos Personales al que se refiere el artículo 12 de esta Ley;

 

XIX.- Expedir criterios adicionales para determinar los supuestos en los que se está ante un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto por los artículos 70 y 71 de esta Ley;

 

XX.- Expedir las disposiciones administrativas necesarias para la valoración del contenido presentado por los sujetos obligados en la Evaluación de impacto en la protección de datos personales, a efecto de emitir las recomendaciones no vinculantes que correspondan, y

 

XXI.- Las demás que se establezcan en otras disposiciones en la materia para el funcionamiento del Sistema Nacional.

 

Artículo 15.-  El Consejo Nacional funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y demás ordenamientos aplicables.

 

TÍTULO SEGUNDO.- PRINCIPIOS Y DEBERES

 

Capítulo I.- De los Principios

 

Artículo 16.- El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.

 

Artículo 17.- El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera.

 

Artículo 18.- Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera.

 

El responsable podrá tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia.

 

Artículo 19.- El responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.

 

Artículo 20.- Cuando no se actualicen algunas de las causales de excepción previstas en el artículo 22 de la presente Ley, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma:

 

I.- Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular;

 

II.- Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento, e

 

III.- Informada: Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales.

 

En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable.

 

Artículo 21.- El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología.

 

El consentimiento será tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su voluntad en sentido contrario.

 

Por regla general será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente.

 

Tratándose de datos personales sensibles el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el artículo 22 de esta Ley.

 

Artículo 22.- El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos:

 

I.- Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla;

 

II.- Cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;

 

III.- Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente;

 

IV.- Para el reconocimiento o defensa de derechos del titular ante autoridad competente;

 

V.- Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;

 

VI.- Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

 

VII.- Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria;

 

VIII.- Cuando los datos personales figuren en fuentes de acceso público;

 

IX.- Cuando los datos personales se sometan a un procedimiento previo de disociación, o

 

X.- Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.

 

Artículo 23.- El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos.

 

Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.

 

Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.

 

Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.

 

Artículo 24.- El responsable deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo anterior de la presente Ley.

 

En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales.

 

Artículo 25.-  El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

 

Artículo 26.- El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

 

Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable.

 

Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla.

 

Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

 

Artículo 27.-  El aviso de privacidad a que se refiere el artículo 3, fracción II, se pondrá a disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la siguiente información:

 

I.- La denominación del responsable;

 

II.- Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular;

 

III.- Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar:

 

a)     Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y

 

b)    Las finalidades de estas transferencias;

 

IV.- Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento del titular, y

 

V.- El sitio donde se podrá consultar el aviso de privacidad integral.

 

La puesta a disposición del aviso de privacidad al que refiere este artículo no exime al responsable de su obligación de proveer los mecanismos para que el titular pueda conocer el contenido del aviso de privacidad al que se refiere el artículo siguiente.

 

Los mecanismos y medios a los que se refiere la fracción IV de este artículo, deberán estar disponibles para que el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades o transferencias que requieran el consentimiento del titular, previo a que ocurra dicho tratamiento.

 

Artículo 28.- El aviso de privacidad integral, además de lo dispuesto en las fracciones del artículo anterior, al que refiere la fracción V del artículo anterior deberá contener, al menos, la siguiente información:

 

I.- El domicilio del responsable;

 

II.- Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;

 

III.- El fundamento legal que faculta al responsable para llevar a cabo el tratamiento;

 

IV.- Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular;

 

V.- Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;

 

VI.- El domicilio de la Unidad de Transparencia, y

 

VII.- Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

 

Artículo 29.- El responsable deberá implementar los mecanismos previstos en el artículo 30 de la presente Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la presente Ley y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular e Instituto o a los Organismos garantes, según corresponda, caso en el cual deberá observar la Constitución y los Tratados Internacionales en los que el Estado mexicano sea parte; en lo que no se contraponga con la normativa mexicana podrá valerse de estándares o mejores prácticas nacionales o internacionales para tales fines.

 

Artículo 30.- Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes:

 

I.- Destinar recursos autorizados para tal fin para la instrumentación de programas y políticas de protección de datos personales;

 

II.- Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;

 

III.- Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales;

 

IV.- Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran;

 

V.- Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales;

 

VI.- Establecer procedimientos para recibir y responder dudas y quejas de los titulares;

 

VII.- Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia, y

 

VIII.- Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia.

 

Capítulo II.- De los Deberes

 

Artículo 31.- Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.

 

Artículo 32.- Las medidas de seguridad adoptadas por el responsable deberán considerar:

 

I.- El riesgo inherente a los datos personales tratados;

 

II.- La sensibilidad de los datos personales tratados;

 

III.- El desarrollo tecnológico;

 

IV.- Las posibles consecuencias de una vulneración para los titulares;

 

V.- Las transferencias de datos personales que se realicen;

 

VI.- El número de titulares;

 

VII.- Las vulneraciones previas ocurridas en los sistemas de tratamiento, y

 

VIII.- El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

 

Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:

 

I.- Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión;

 

II.- Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;

 

III.- Elaborar un inventario de datos personales y de los sistemas de tratamiento;

 

IV.- Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros;

 

V.- Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable;

 

VI.- Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;

 

VII.- Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y

 

VIII.- Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.

 

Artículo 34.- Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión.

 

Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones que le resulten aplicables en la materia.

 

Artículo 35.-  De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente:

 

I.- El inventario de datos personales y de los sistemas de tratamiento;

 

II.- Las funciones y obligaciones de las personas que traten datos personales;

 

III.- El análisis de riesgos;

 

IV.- El análisis de brecha;

 

V.- El plan de trabajo;

 

VI.- Los mecanismos de monitoreo y revisión de las medidas de seguridad, y

 

VII.- El programa general de capacitación.

 

Artículo 36.- El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos:

 

I.- Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo;

 

II.- Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión;

 

III.- Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y

 

IV.- Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.

 

Artículo 37.- En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita.

 

Artículo 38.- Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes:

 

I.- La pérdida o destrucción no autorizada;

 

II.- El robo, extravío o copia no autorizada;

 

III.- El uso, acceso o tratamiento no autorizado, o

 

IV.- El daño, la alteración o modificación no autorizada.

 

Artículo 39.- El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas de forma inmediata y definitiva.

 

Artículo 40.- El responsable deberá informar sin dilación alguna al titular, y según corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos.

 

Artículo 41.- El responsable deberá informar al titular al menos lo siguiente:

 

I.- La naturaleza del incidente;

 

II.- Los datos personales comprometidos;

 

III.- Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;

 

IV.- Las acciones correctivas realizadas de forma inmediata, y

 

V.- Los medios donde puede obtener más información al respecto.

 

Artículo 42.- El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo.

 

Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la información pública.

 

TÍTULO TERCERO.- DERECHOS DE LOS TITULARES Y SU EJERCICIO

 

Capítulo I.- De los Derechos de Acceso, Rectificación, Cancelación y Oposición

 

Artículo 43.- En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen, de conformidad con lo establecido en el presente Título. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.

 

Artículo 44.- El titular tendrá derecho de acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones y generalidades de su tratamiento.

 

Artículo 45.- El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren actualizados.

 

Artículo 46.- El titular tendrá derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.

 

Artículo 47.- El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando:

 

I.- Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular, y

 

II.- Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

 

Capítulo II.- Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición

 

Artículo 48.- La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO que se formulen a los responsables, se sujetará al procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables en la materia.

 

Artículo 49.- Para el ejercicio de los derechos ARCO será necesario acreditar la identidad del titular y, en su caso, la identidad y personalidad con la que actúe el representante.

 

El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial.

 

En el ejercicio de los derechos ARCO de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la misma legislación.

 

Tratándose de datos personales concernientes a personas fallecidas, la persona que acredite tener un interés jurídico, de conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente Capítulo, siempre que el titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho efecto.

 

Artículo 50.- El ejercicio de los derechos ARCO deberá ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable.

 

Para efectos de acceso a datos personales, las leyes que establezcan los costos de reproducción y certificación deberán considerar en su determinación que los montos permitan o faciliten el ejercicio de este derecho.

 

Cuando el titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos deberán ser entregados sin costo a éste.

 

La información deberá ser entregada sin costo, cuando implique la entrega de no más de veinte hojas simples. Las unidades de transparencia podrán exceptuar el pago de reproducción y envío atendiendo a las circunstancias socioeconómicas del titular.

 

El responsable no podrá establecer para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio que implique un costo al titular.

 

Artículo 51.- El responsable deberá establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCO, cuyo plazo de respuesta no deberá exceder de veinte días contados a partir del día siguiente a la recepción de la solicitud.

 

El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta por diez días cuando así lo justifiquen las circunstancias, y siempre y cuando se le notifique al titular dentro del plazo de respuesta.

 

En caso de resultar procedente el ejercicio de los derechos ARCO, el responsable deberá hacerlo efectivo en un plazo que no podrá exceder de quince días contados a partir del día siguiente en que se haya notificado la respuesta al titular.

 

Artículo 52.- En la solicitud para el ejercicio de los derechos ARCO no podrán imponerse mayores requisitos que los siguientes:

 

I.- El nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones;

 

II.- Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante;

 

III.- De ser posible, el área responsable que trata los datos personales y ante el cual se presenta la solicitud;

 

IV.-La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;

 

V.- La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular, y

 

VI.- Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.

 

Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan. El responsable deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de entrega de los datos personales fundando y motivando dicha actuación.

 

En caso de que la solicitud de protección de datos no satisfaga alguno de los requisitos a que se refiere este artículo, y el Instituto o los organismos garantes no cuenten con elementos para subsanarla, se prevendrá al titular de los datos dentro de los cinco días siguientes a la presentación de la solicitud de ejercicio de los derechos ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días contados a partir del día siguiente al de la notificación.

 

Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud de ejercicio de los derechos ARCO.

 

La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto, o en su caso, los organismos garantes, para resolver la solicitud de ejercicio de los derechos ARCO.

 

Con relación a una solicitud de cancelación, el titular deberá señalar las causas que lo motiven a solicitar la supresión de sus datos personales en los archivos, registros o bases de datos del responsable.

 

En el caso de la solicitud de oposición, el titular deberá manifestar las causas legítimas o la situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento, o en su caso, las finalidades específicas respecto de las cuales requiere ejercer el derecho de oposición.

 

Las solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante la Unidad de Transparencia del responsable, que el titular considere competente, a través de escrito libre, formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias.

 

El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO y entregar el acuse de recibo que corresponda.

 

El Instituto y los Organismos garantes, según corresponda, podrán establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO.

 

Los medios y procedimientos habilitados por el responsable para atender las solicitudes para el ejercicio de los derechos ARCO deberán ser de fácil acceso y con la mayor cobertura posible considerando el perfil de los titulares y la forma en que mantienen contacto cotidiano o común con el responsable.

 

Artículo 53.- Cuando el responsable no sea competente para atender la solicitud para el ejercicio de los derechos ARCO, deberá hacer del conocimiento del titular dicha situación dentro de los tres días siguientes a la presentación de la solicitud, y en caso de poderlo determinar, orientarlo hacia el responsable competente.

 

En caso de que el responsable declare inexistencia de los datos personales en sus archivos, registros, sistemas o expediente, dicha declaración deberá constar en una resolución del Comité de Transparencia que confirme la inexistencia de los datos personales.

 

En caso de que el responsable advierta que la solicitud para el ejercicio de los derechos ARCO corresponda a un derecho diferente de los previstos en la presente Ley, deberá reconducir la vía haciéndolo del conocimiento al titular.

 

Artículo 54.- Cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCO, el responsable deberá informar al titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCO, a efecto de que este último decida si ejerce sus derechos a través del trámite específico, o bien, por medio del procedimiento que el responsable haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos ARCO conforme a las disposiciones establecidas en este Capítulo.

 

Artículo 55.- Las únicas causas en las que el ejercicio de los derechos ARCO no será procedente son:

 

I.- Cuando el titular o su representante no estén debidamente acreditados para ello;

 

II.- Cuando los datos personales no se encuentren en posesión del responsable;

 

III.- Cuando exista un impedimento legal;

 

IV.- Cuando se lesionen los derechos de un tercero;

 

V.- Cuando se obstaculicen actuaciones judiciales o administrativas;

 

VI.- Cuando exista una resolución de autoridad competente que restrinja el acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;

 

VII.- Cuando la cancelación u oposición haya sido previamente realizada;

 

VIII.- Cuando el responsable no sea competente;

 

IX.- Cuando sean necesarios para proteger intereses jurídicamente tutelados del titular;

 

X.- Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;

 

XI.- Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y proporcionales para mantener la integridad, estabilidad y permanencia del Estado mexicano, o

 

XII.- Cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.

 

En todos los casos anteriores, el responsable deberá informar al titular el motivo de su determinación, en el plazo de hasta veinte días a los que se refiere el primer párrafo del artículo 51 de la presente Ley y demás disposiciones aplicables, y por el mismo medio en que se llevó a cabo la solicitud, acompañando en su caso, las pruebas que resulten pertinentes.

 

Artículo 56.- Contra la negativa de dar trámite a toda solicitud para el ejercicio de los derechos ARCO o por falta de respuesta del responsable, procederá la interposición del recurso de revisión a que se refiere el artículo 94 de la presente Ley.

 

Capítulo III.- De la Portabilidad de los Datos

 

Artículo 57.- Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

 

Cuando el titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.

 

El Sistema Nacional establecerá mediante lineamientos los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la transferencia de datos personales.

 

TÍTULO CUARTO.- RELACIÓN DEL RESPONSABLE Y ENCARGADO

 

Capítulo Único.- Responsable y Encargado

 

Artículo 58.- El encargado deberá realizar las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por el responsable.

 

Artículo 59.- La relación entre el responsable y el encargado deberá estar formalizada mediante contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con la normativa que le resulte aplicable, y que permita acreditar su existencia, alcance y contenido.

 

En el contrato o instrumento jurídico que decida el responsable se deberán prever, al menos, las siguientes cláusulas generales relacionadas con los servicios que preste el encargado:

 

I.- Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable;

 

II.- Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

 

III.- Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables;

 

IV.- Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones;

 

V.- Guardar confidencialidad respecto de los datos personales tratados;

 

VI.- Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y

 

VII.- Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente.

 

Los acuerdos entre el responsable y el encargado relacionados con el tratamiento de datos personales no deberán contravenir la presente Ley y demás disposiciones aplicables, así como lo establecido en el aviso de privacidad correspondiente.

 

Artículo 60.- Cuando el encargado incumpla las instrucciones del responsable y decida por sí mismo sobre el tratamiento de los datos personales, asumirá el carácter de responsable conforme a la legislación en la materia que le resulte aplicable.

 

Artículo 61.- El encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales por cuenta del responsable, siempre y cuando medie la autorización expresa de este último. El subcontratado asumirá el carácter de encargado en los términos de la presente la Ley y demás disposiciones que resulten aplicables en la materia.

 

Cuando el contrato o el instrumento jurídico mediante el cual se haya formalizado la relación entre el responsable y el encargado, prevea que este último pueda llevar a cabo a su vez las subcontrataciones de servicios, la autorización a la que refiere el párrafo anterior se entenderá como otorgada a través de lo estipulado en éstos.

 

Artículo 62.- Una vez obtenida la autorización expresa del responsable, el encargado deberá formalizar la relación adquirida con el subcontratado a través de un contrato o cualquier otro instrumento jurídico que decida, de conformidad con la normatividad que le resulte aplicable, y permita acreditar la existencia, alcance y contenido de la prestación del servicio en términos de lo previsto en el presente Capítulo.

 

Artículo 63.- El responsable podrá contratar o adherirse a servicios, aplicaciones e infraestructura en el cómputo en la nube, y otras materias que impliquen el tratamiento de datos personales, siempre y cuando el proveedor externo garantice políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia.

 

En su caso, el responsable deberá delimitar el tratamiento de los datos personales por parte del proveedor externo a través de cláusulas contractuales u otros instrumentos jurídicos.

 

Artículo 64.- Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura de cómputo en la nube y otras materias, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:

 

I.- Cumpla, al menos, con lo siguiente:

 

a)     Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la presente Ley y demás normativa aplicable;

 

b)    Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;

 

c)     Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que preste el servicio, y

 

d)    Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio;

 

II.- Cuente con mecanismos, al menos, para:

 

a)     Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;

 

b)    Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;

 

c)     Establecer y mantener medidas de seguridad para la protección de los datos personales sobre los que se preste el servicio;

 

d)    Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable y que este último haya podido recuperarlos, y

 

e)     Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien, en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.

 

En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales, conforme a la presente Ley y demás disposiciones que resulten aplicables en la materia.

 

TÍTULO QUINTO.- COMUNICACIONES DE DATOS PERSONALES

 

Capítulo Único.- De las Transferencias y Remisiones de Datos Personales

 

Artículo 65.- Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 22, 66 y 70 de esta Ley.

 

Artículo 66.- Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes.

 

Lo dispuesto en el párrafo anterior, no será aplicable en los siguientes casos:

 

I.- Cuando la transferencia sea nacional y se realice entre responsables en virtud del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente conferidas a éstos, o

 

II.- Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad extranjera u organismo internacional competente en su carácter de receptor, siempre y cuando las facultades entre el responsable transferente y receptor sean homólogas, o bien, las finalidades que motivan la transferencia sean análogas o compatibles respecto de aquéllas que dieron origen al tratamiento del responsable transferente.

 

Artículo 67.- Cuando la transferencia sea nacional, el receptor de los datos personales deberá tratar los datos personales, comprometiéndose a garantizar su confidencialidad y únicamente los utilizará para los fines que fueron transferidos atendiendo a lo convenido en el aviso de privacidad que le será comunicado por el responsable transferente.

 

Artículo 68.- El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a proteger los datos personales conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia.

 

Artículo 69.- En toda transferencia de datos personales, el responsable deberá comunicar al receptor de los datos personales el aviso de privacidad conforme al cual se tratan los datos personales frente al titular.

 

Artículo 70.- El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos:

 

I.- Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos y ratificados por México;

 

II.- Cuando la transferencia se realice entre responsables, siempre y cuando los datos personales se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;

 

III.- Cuando la transferencia sea legalmente exigida para la investigación y persecución de los delitos, así como la procuración o administración de justicia;

 

IV.- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad competente, siempre y cuando medie el requerimiento de esta última;

 

V.- Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

 

VI.- Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular;

 

VII.- Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

 

VIII.- Cuando se trate de los casos en los que el responsable no esté obligado a recabar el consentimiento del titular para el tratamiento y transmisión de sus datos personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o

 

IX.-Cuando la transferencia sea necesaria por razones de seguridad nacional.

 

La actualización de algunas de las excepciones previstas en este artículo, no exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo que resulten aplicables.

 

Artículo 71.- Las remisiones nacionales e internacionales de datos personales que se realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar con su consentimiento.

 

TÍTULO SEXTO.- ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

 

Capítulo I.- De las Mejores Prácticas

 

Artículo 72.- Para el cumplimiento de las obligaciones previstas en la presente Ley, el responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:

 

I.- Elevar el nivel de protección de los datos personales;

 

II.- Armonizar el tratamiento de datos personales en un sector específico;

 

III.- Facilitar el ejercicio de los derechos ARCO por parte de los titulares;

 

IV.- Facilitar las transferencias de datos personales;

 

V.- Complementar las disposiciones previstas en la normatividad que resulte aplicable en materia de protección de datos personales, y

 

VI.- Demostrar ante el Instituto o, en su caso, los Organismos garantes, el cumplimiento de la normatividad que resulte aplicable en materia de protección de datos personales.

 

Artículo 73.- Todo esquema de mejores prácticas que busque la validación o reconocimiento por parte del Instituto o, en su caso, de los Organismos garantes deberá:

 

I.- Cumplir con los parámetros que para tal efecto emitan, según corresponda, el Instituto y los Organismos garantes conforme a los criterios que fije el primero, y

 

II.- Ser notificado ante el Instituto o, en su caso, los Organismos garantes de conformidad con el procedimiento establecido en los parámetros señalados en la fracción anterior, a fin de que sean evaluados y, en su caso, validados o reconocidos e inscritos en el registro al que refiere el último párrafo de este artículo.

 

El Instituto y los Organismos garantes, según corresponda, deberán emitir las reglas de operación de los registros en los que se inscribirán aquellos esquemas de mejores prácticas validados o reconocidos. Los Organismos garantes, podrán inscribir los esquemas de mejores prácticas que hayan reconocido o validado en el registro administrado por el Instituto, de acuerdo con las reglas que fije este último.

 

Artículo 74.- Cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de impacto en la protección de datos personales, y presentarla ante el Instituto o los Organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.

 

El contenido de la evaluación de impacto a la protección de datos personales deberá determinarse por el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

 

Artículo 75.- Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando:

 

I.- Existan riesgos inherentes a los datos personales a tratar;

 

II.- Se traten datos personales sensibles, y

 

III.- Se efectúen o pretendan efectuar transferencias de datos personales.

 

Artículo 76.- El Sistema Nacional podrá emitir criterios adicionales con sustento en parámetros objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo anterior, en función de:

 

I.- El número de titulares;

 

II.- El público objetivo;

 

III.- El desarrollo de la tecnología utilizada, y

 

IV.- La relevancia del tratamiento de datos personales en atención al impacto social o, económico del mismo, o bien, del interés público que se persigue.

 

Artículo 77.- Los sujetos obligados que realicen una Evaluación de impacto en la protección de datos personales, deberán presentarla ante el Instituto o los Organismos garantes, según corresponda, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los organismos garantes, según corresponda, a efecto de que emitan las recomendaciones no vinculantes correspondientes.

 

Artículo 78.- El Instituto y los Organismos garantes, según corresponda, deberán emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de impacto en la protección de datos personales presentado por el responsable.

 

El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación.

 

Artículo 79.- Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

 

Capítulo II.- De las Bases de Datos en Posesión de Instancias de Seguridad, Procuración y Administración de Justicia

 

Artículo 80.- La obtención y tratamiento de datos personales, en términos de lo que dispone esta Ley, por parte de las sujetos obligados competentes en instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de las funciones en materia de seguridad nacional, seguridad pública, o para la prevención o persecución de los delitos. Deberán ser almacenados en las bases de datos establecidas para tal efecto.

 

Las autoridades que accedan y almacenen los datos personales que se recaben por los particulares en cumplimiento de las disposiciones legales correspondientes, deberán cumplir con las disposiciones señaladas en el presente Capítulo.

 

Artículo 81.- En el tratamiento de datos personales así como en el uso de las bases de datos para su almacenamiento, que realicen los sujetos obligados competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los principios establecidos en el Título Segundo de la presente Ley.

 

Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.

 

Artículo 82.- Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

 

TÍTULO SÉPTIMO.- RESPONSABLES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS SUJETOS OBLIGADOS

 

Capítulo I.- Comité de Transparencia

 

Artículo 83.- Cada responsable contará con un Comité de Transparencia, el cual se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable.

 

El Comité de Transparencia será la autoridad máxima en materia de protección de datos personales.

 

Artículo 84.- Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que le sean conferidas en la normatividad que le resulte aplicable, el Comité de Transparencia tendrá las siguientes funciones:

 

I.- Coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de los datos personales en la organización del responsable, de conformidad con las disposiciones previstas en la presente Ley y en aquellas disposiciones que resulten aplicables en la materia;

 

II.- Instituir, en su caso, procedimientos internos para asegurar la mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;

 

III.- Confirmar, modificar o revocar las determinaciones en las que se declare la inexistencia de los datos personales, o se niegue por cualquier causa el ejercicio de alguno de los derechos ARCO;

 

IV.- Establecer y supervisar la aplicación de criterios específicos que resulten necesarios para una mejor observancia de la presente Ley y en aquellas disposiciones que resulten aplicables en la materia;

 

V.- Supervisar, en coordinación con las áreas o unidades administrativas competentes, el cumplimiento de las medidas, controles y acciones previstas en el documento de seguridad;

 

VI.- Dar seguimiento y cumplimiento a las resoluciones emitidas por el Instituto y los organismos garantes, según corresponda;

 

VII.- Establecer programas de capacitación y actualización para los servidores públicos en materia de protección de datos personales, y

 

VIII.- Dar vista al órgano interno de control o instancia equivalente en aquellos casos en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta irregularidad respecto de determinado tratamiento de datos personales; particularmente en casos relacionados con la declaración de inexistencia que realicen los responsables.

 

Capítulo II.- De la Unidad de Transparencia

 

Artículo 85.- Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta Ley y demás normativa aplicable, que tendrá las siguientes funciones:

 

I.- Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales;

 

II.- Gestionar las solicitudes para el ejercicio de los derechos ARCO;

 

III.- Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o su representante debidamente acreditados;

 

IV.- Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables;

 

V.- Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;

 

VI.- Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO, y

 

VII.- Asesorar a las áreas adscritas al responsable en materia de protección de datos personales.

 

Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia.

 

Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente.

 

Artículo 86.- El responsable procurará que las personas con algún tipo de discapacidad o grupos vulnerables, puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales.

 

Artículo 87.- En la designación del titular de la Unidad de Transparencia, el responsable estará a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable.

 

TÍTULO OCTAVO.- ORGANISMOS GARANTES

 

Capítulo I.- Del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

 

Artículo 88.- En la integración, procedimiento de designación y funcionamiento del Instituto y del Consejo Consultivo se estará a lo dispuesto por la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normativa aplicable.

 

Artículo 89.– Además de las facultades que le son conferidas en la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y demás normatividad que le resulte aplicable, el Instituto tendrá las siguientes atribuciones:

 

I.- Garantizar el ejercicio del derecho a la protección de datos personales en posesión de sujetos obligados;

 

II.- Interpretar la presente Ley en el ámbito administrativo;

 

III.- Conocer y resolver los recursos de revisión que interpongan los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

IV.- Conocer y resolver, de oficio o a petición fundada por los organismos garantes, los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

V.- Conocer y resolver los recursos de inconformidad que interpongan los titulares, en contra de las resoluciones emitidas por los organismos garantes, de conformidad con lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

VI.- Conocer, sustanciar y resolver los procedimientos de verificación;

 

VII.- Establecer y ejecutar las medidas de apremio previstas en términos de lo dispuesto por la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

VIII.- Denunciar ante las autoridades competentes las presuntas infracciones a la presente Ley y, en su caso, aportar las pruebas con las que cuente;

 

IX.- Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lengua indígena, sean atendidos en la misma lengua;

 

X.- Garantizar, en el ámbito de su respectiva competencia, condiciones de accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales;

 

XI.- Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley;

 

XII.- Proporcionar apoyo técnico a los responsables para el cumplimiento de las obligaciones establecidas en la presente Ley;

 

XIII.- Divulgar y emitir recomendaciones, estándares y mejores prácticas en las materias reguladas por la presente Ley;

 

XIV.- Vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley;

 

XV.- Administrar el registro de esquemas de mejores prácticas a que se refiere la presente Ley y emitir sus reglas de operación;

 

XVI.- Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en la protección de datos personales que le sean presentadas;

 

XVII.- Emitir disposiciones generales para el desarrollo del procedimiento de verificación;

 

XVIII.-  Realizar las evaluaciones correspondientes a los esquemas de mejores prácticas que les sean notificados, a fin de resolver sobre la procedencia de su reconocimiento o validación e inscripción en el registro de esquemas de mejores prácticas, así como promover la adopción de los mismos;

 

XIX.- Emitir, en el ámbito de su competencia, las disposiciones administrativas de carácter general para el debido cumplimiento de los principios, deberes y obligaciones que establece la presente Ley, así como para el ejercicio de los derechos de los titulares;

 

XX.- Celebrar convenios con los responsables para desarrollar programas que tengan por objeto homologar tratamientos de datos personales en sectores específicos, elevar la protección de los datos personales y realizar cualquier mejora a las prácticas en la materia;

 

XXI.- Definir y desarrollar el sistema de certificación en materia de protección de datos personales, de conformidad con lo que se establezca en los parámetros a que se refiere la presente Ley;

 

XXII.- Presidir el Sistema Nacional a que se refiere el artículo 10 de la presente Ley;

 

XXIII.- Celebrar convenios con los organismos garantes que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

XXIV.- Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas;

 

XXV.- Diseñar y aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto al cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

XXVI.- Promover la capacitación y actualización en materia de protección de datos personales entre los responsables;

 

XXVII.-  Emitir lineamientos generales para el debido tratamiento de los datos personales;

 

XXVIII.- Emitir lineamientos para homologar el ejercicio de los derechos ARCO;

 

XXIX.- Emitir criterios generales de interpretación para garantizar el derecho a la protección de datos personales;

 

XXX.- Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales, de conformidad con las disposiciones previstas en la presente Ley y demás normativa aplicable;

 

XXXI.-  Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Nacional, a que se refiere la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable;

 

XXXII.- Interponer, cuando así lo aprueben la mayoría de sus Comisionados, acciones de inconstitucionalidad en contra de leyes de carácter federal o estatal, así como de los Tratados Internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que vulneren el derecho a la protección de datos personales;

 

XXXIII.- Promover, cuando así lo aprueben la mayoría de sus Comisionados, las controversias constitucionales en términos del artículo 105, fracción I, inciso l), de la Constitución Política de los Estados Unidos Mexicanos;

 

XXXIV.- Cooperar con otras autoridades nacionales o internacionales para combatir conductas relacionadas con el indebido tratamiento de datos personales;

 

XXXV.-  Diseñar, vigilar y, en su caso, operar el sistema de buenas prácticas en materia de protección de datos personales, así como el sistema de certificación en la materia, a través de normativa que el Instituto emita para tales fines;

 

XXXVI.- Celebrar convenios con los organismos garantes y responsables que coadyuven al cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia, y

 

XXXVII.- Las demás que le confiera la presente Ley y demás ordenamientos aplicables.

 

Capítulo II.- De los Organismos Garantes

 

Artículo 90.- En la integración, procedimiento de designación y funcionamiento de los organismos garantes se estará a lo dispuesto por la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable.

 

Artículo 91.- Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que les sean conferidas en la normatividad que les resulte aplicable, los organismos garantes tendrán las siguientes atribuciones:

 

I.- Conocer, sustanciar y resolver, en el ámbito de sus respectivas competencias, de los recursos de revisión interpuestos por los titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

II.- Presentar petición fundada al Instituto, para que conozca de los recursos de revisión que por su interés y trascendencia así lo ameriten, en términos de lo previsto en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

III.- Imponer las medidas de apremio para asegurar el cumplimiento de sus resoluciones;

 

IV.- Promover y difundir el ejercicio del derecho a la protección de datos personales;

 

V.- Coordinarse con las autoridades competentes para que las solicitudes para el ejercicio de los derechos ARCO y los recursos de revisión que se presenten en lenguas indígenas, sean atendidos en la misma lengua;

 

VI.- Garantizar, en el ámbito de sus respectivas competencias, condiciones de accesibilidad para que los titulares que pertenecen a grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales;

 

VII.- Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de la presente Ley;

 

VIII.- Hacer del conocimiento de las autoridades competentes, la probable responsabilidad derivada del incumplimiento de las obligaciones previstas en la presente Ley y en las demás disposiciones que resulten aplicables;

 

IX.- Proporcionar al Instituto los elementos que requiera para resolver los recursos de inconformidad que le sean presentados, en términos de lo previsto en el Título Noveno, Capítulo II de la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

X.- Suscribir convenios de colaboración con el Instituto para el cumplimiento de los objetivos previstos en la presente Ley y demás disposiciones aplicables;

 

XI.- Vigilar, en el ámbito de sus respectivas competencias, el cumplimiento de la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

XII.- Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la protección de datos personales, así como de sus prerrogativas;

 

XIII.- Aplicar indicadores y criterios para evaluar el desempeño de los responsables respecto del cumplimiento de la presente Ley y demás disposiciones que resulten aplicables;

 

XIV.- Promover la capacitación y actualización en materia de protección de datos personales entre los responsables;

 

XV.- Solicitar la cooperación del Instituto en los términos del artículo 89, fracción XXX de la presente Ley;

 

XVI.- Administrar, en el ámbito de sus competencias, la Plataforma Nacional de Transparencia;

 

XVII.- Según corresponda, interponer acciones de inconstitucionalidad en contra de leyes expedidas por las legislaturas de las Entidades Federativas, que vulneren el derecho a la protección de datos personales, y

 

XVIII.- Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la Evaluación de impacto en protección de datos personales que le sean presentadas.

 

Capítulo III.- De la Coordinación y Promoción del Derecho a la Protección de Datos Personales

 

Artículo 92.- Los responsables deberán colaborar con el Instituto y los organismos garantes, según corresponda, para capacitar y actualizar de forma permanente a todos sus servidores públicos en materia de protección de datos personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma de enseñanza y entrenamiento que se considere pertinente.

 

Artículo 93.- El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, deberán:

 

I.- Promover que en los programas y planes de estudio, libros y materiales que se utilicen en las instituciones educativas de todos los niveles y modalidades del Estado, se incluyan contenidos sobre el derecho a la protección de datos personales, así como una cultura sobre el ejercicio y respeto de éste;

 

II.- Impulsar en conjunto con instituciones de educación superior, la integración de centros de investigación, difusión y docencia sobre el derecho a la protección de datos personales que promuevan el conocimiento sobre este tema y coadyuven con el Instituto y los Organismos garantes en sus tareas sustantivas, y

 

III.- Fomentar la creación de espacios de participación social y ciudadana que estimulen el intercambio de ideas entre la sociedad, los órganos de representación ciudadana y los responsables.

 

TÍTULO NOVENO.- DE LOS PROCEDIMIENTOS DE IMPUGNACIÓN EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

 

Capítulo I.- Disposiciones Comunes a los Recursos de Revisión y Recursos de Inconformidad

 

Artículo 94.- El titular o su representante podrá interponer un recurso de revisión o un recurso de inconformidad ante el Instituto o los Organismos garantes, según corresponda, o bien, ante la Unidad de Transparencia, a través de los siguientes medios:

 

I.- Por escrito libre en el domicilio del Instituto o los Organismos garantes, según corresponda, o en las oficinas habilitadas que al efecto establezcan;

 

II.- Por correo certificado con acuse de recibo;

 

III.- Por formatos que al efecto emita el Instituto o los Organismos garantes, según corresponda;

 

IV.- Por los medios electrónicos que para tal fin se autoricen, o

 

V.- Cualquier otro medio que al efecto establezca el Instituto o los Organismos garantes, según corresponda.

 

Se presumirá que el titular acepta que las notificaciones le sean efectuadas por el mismo conducto que presentó su escrito, salvo que acredite haber señalado uno distinto para recibir notificaciones.

 

Artículo 95.- El titular podrá acreditar su identidad a través de cualquiera de los siguientes medios:

 

I.- Identificación oficial;

 

II.- Firma electrónica avanzada o del instrumento electrónico que lo sustituya, o

 

III.- Mecanismos de autenticación autorizados por el Instituto y los Organismos garantes, según corresponda, publicados mediante acuerdo general en el Diario Oficial de la Federación o en los diarios y gacetas oficiales de las Entidades Federativas.

 

La utilización de la firma electrónica avanzada o del instrumento electrónico que lo sustituya eximirá de la presentación de la copia del documento de identificación.

 

Artículo 96. Cuando el titular actúe mediante un representante, éste deberá acreditar su personalidad en los siguientes términos:

 

I.- Si se trata de una persona física, a través de carta poder simple suscrita ante dos testigos anexando copia de las identificaciones de los suscriptores, o instrumento público, o declaración en comparecencia personal del titular y del representante ante el Instituto.

 

II.- Si se trata de una persona moral, mediante instrumento público.

 

Artículo 97.- La interposición de un recurso de revisión o de inconformidad de datos personales concernientes a personas fallecidas, podrá realizarla la persona que acredite tener un interés jurídico o legítimo.

 

Artículo 98.- En la sustanciación de los recursos de revisión y recursos de inconformidad, las notificaciones que emitan el Instituto y los Organismos garantes, según corresponda, surtirán efectos el mismo día en que se practiquen.

 

Las notificaciones podrán efectuarse:

 

I.- Personalmente en los siguientes casos:

 

a)     Se trate de la primera notificación;

 

b)    Se trate del requerimiento de un acto a la parte que deba cumplirlo;

 

c)     Se trate de la solicitud de informes o documentos;

 

d)    Se trate de la resolución que ponga fin al procedimiento de que se trate, y

 

e)     En los demás casos que disponga la ley;

 

II.- Por correo certificado con acuse de recibo o medios digitales o sistemas autorizados por el Instituto o los Organismos garantes, según corresponda, y publicados mediante acuerdo general en el Diario Oficial de la Federación o diarios o gacetas oficiales de las Entidades Federativas, cuando se trate de requerimientos, emplazamientos, solicitudes de informes o documentos y resoluciones que puedan ser impugnadas;

 

III.- Por correo postal ordinario o por correo electrónico ordinario cuando se trate de actos distintos de los señalados en las fracciones anteriores, o

 

IV.- Por estrados, cuando la persona a quien deba notificarse no sea localizable en su domicilio, se ignore éste o el de su representante.

 

Artículo 99.- El cómputo de los plazos señalados en el presente Título comenzará a correr a partir del día siguiente a aquél en que haya surtido efectos la notificación correspondiente.

 

Concluidos los plazos fijados a las partes, se tendrá por perdido el derecho que dentro de ellos debió ejercitarse, sin necesidad de acuse de rebeldía por parte del Instituto.

 

Artículo 100.- El titular, el responsable y los Organismos garantes o cualquier autoridad deberán atender los requerimientos de información en los plazos y términos que el Instituto y los Organismos garantes, según corresponda, establezcan.

 

Artículo 101.- Cuando el titular, el responsable, los Organismos garantes o cualquier autoridad se nieguen a atender o cumplimentar los requerimientos, solicitudes de información y documentación, emplazamientos, citaciones o diligencias notificadas por el Instituto o los Organismos garantes, según corresponda, o facilitar la práctica de las diligencias que hayan sido ordenadas, o entorpezca las actuaciones del Instituto o los Organismos garantes, según corresponda, tendrán por perdido su derecho para hacerlo valer en algún otro momento del procedimiento y el Instituto y los Organismos garantes, según corresponda, tendrán por ciertos los hechos materia del procedimiento y resolverá con los elementos que disponga.

 

Artículo 102.- En la sustanciación de los recursos de revisión o recursos de inconformidad, las partes podrán ofrecer las siguientes pruebas:

 

I.- La documental pública;

 

II.- La documental privada;

 

III.- La inspección;

 

IV.- La pericial;

 

V.- La testimonial;

 

VI.- La confesional, excepto tratándose de autoridades;

 

VII.- Las imágenes fotográficas, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología, y

 

VIII.- La presuncional legal y humana.

 

El Instituto y los Organismos garantes, según corresponda, podrán allegarse de los medios de prueba que consideren necesarios, sin más limitación que las establecidas en la ley.

 

Capítulo II.- Del Recurso de Revisión ante el Instituto y los Organismos Garantes

 

Artículo 103.- El titular, por sí mismo o a través de su representante, podrán interponer un recurso de revisión ante el Instituto o, en su caso, ante los Organismos garantes o la Unidad de Transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos ARCO, dentro de un plazo que no podrá exceder de quince días contados a partir del siguiente a la fecha de la notificación de la respuesta.

 

Transcurrido el plazo previsto para dar respuesta a una solicitud para el ejercicio de los derechos ARCO sin que se haya emitido ésta, el titular o, en su caso, su representante podrán interponer el recurso de revisión dentro de los quince días siguientes al que haya vencido el plazo para dar respuesta.

 

Artículo 104.- El recurso de revisión procederá en los siguientes supuestos:

 

I.- Se clasifiquen como confidenciales los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables;

 

II.- Se declare la inexistencia de los datos personales;

 

III.- Se declare la incompetencia por el responsable;

 

IV.- Se entreguen datos personales incompletos;

 

V.- Se entreguen datos personales que no correspondan con lo solicitado;

 

VI.- Se niegue el acceso, rectificación, cancelación u oposición de datos personales;

 

VII.- No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO dentro de los plazos establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia;

 

VIII.- Se entregue o ponga a disposición datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible;

 

IX.- El titular se inconforme con los costos de reproducción, envío o tiempos de entrega de los datos personales;

 

X.- Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue notificada la procedencia de los mismos;

 

XI.- No se dé trámite a una solicitud para el ejercicio de los derechos ARCO, y

 

XII.- En los demás casos que dispongan las leyes.

 

Artículo 105.- Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes:

 

I.- El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO;

 

II.- El nombre del titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones;

 

III.- La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO;

 

IV.- El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;

 

V.- En su caso, copia de la respuesta que se impugna y de la notificación correspondiente, y

 

VI.- Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante.

 

Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el titular procedentes someter a juicio del Instituto o, en su caso, de los Organismos garantes.

 

En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto.

 

Artículo 106.- Una vez admitido el recurso de revisión, el Instituto o, en su caso, los Organismos garantes podrán buscar una conciliación entre el titular y el responsable.

 

De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo.

 

Artículo 107.- Admitido el recurso de revisión y sin perjuicio de lo dispuesto por el artículo 65 de la presente Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:

 

I.- El Instituto y los Organismos garantes, según corresponda, requerirán a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a siete días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen del recurso de revisión y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia.

 

La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine el Instituto o los Organismos garantes, según corresponda. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.

 

Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el Reglamento, salvo que cuente con representación legal debidamente acreditada;

 

II.- Aceptada la posibilidad de conciliar por ambas partes, el Instituto y los Organismos garantes, según correspondan, señalarán el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los diez días siguientes en que el Instituto o los Organismos garantes, según corresponda, hayan recibido la manifestación de la voluntad de conciliar de ambas partes, en la que se procurará avenir los intereses entre el titular y el responsable.

 

El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.

 

El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes la audiencia por una ocasión. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación dentro de los cinco días siguientes.

 

De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el titular o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;

 

III.- Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de conciliación, en el plazo de cinco días; en caso de que no acuda a esta última, se continuará con el recurso de revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;

 

IV.- De no existir acuerdo en la audiencia de conciliación, se continuará con el recurso de revisión;

 

V.- De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, o en su caso, los Organismos garantes, deberán verificar el cumplimiento del acuerdo respectivo, y

 

VI.- El cumplimiento del acuerdo dará por concluido la sustanciación del recurso de revisión, en caso contrario, el Instituto reanudará el procedimiento.

 

El plazo al que se refiere el artículo siguiente de la presente Ley será suspendido durante el periodo de cumplimiento del acuerdo de conciliación.

 

Artículo 108.- El Instituto y los Organismos garantes resolverán el recurso de revisión en un plazo que no podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez.

 

Artículo 109.- Durante el procedimiento a que se refiere el presente Capítulo, el Instituto y los Organismos garantes, según corresponda, deberán aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones.

 

Artículo 110.- Si en el escrito de interposición del recurso de revisión el titular no cumple con alguno de los requisitos previstos en el artículo 105 de la presente Ley y el Instituto y los Organismos garantes, según corresponda, no cuenten con elementos para subsanarlos, éstos deberán requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito.

 

El titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de revisión.

 

La prevención tendrá el efecto de interrumpir el plazo que tienen el Instituto y los Organismos garantes para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo.

 

Artículo 111.- Las resoluciones del Instituto o, en su caso, de los Organismos garantes podrán:

 

I.- Sobreseer o desechar el recurso de revisión por improcedente;

 

II.- Confirmar la respuesta del responsable;

 

III.- Revocar o modificar la respuesta del responsable, o

 

IV.- Ordenar la entrega de los datos personales, en caso de omisión del responsable.

 

Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los responsables deberán informar al Instituto o, en su caso, a los Organismos garantes el cumplimiento de sus resoluciones.

 

Ante la falta de resolución por parte del Instituto, o en su caso, de los Organismos garantes, se entenderá confirmada la respuesta del responsable.

 

Cuando el Instituto, o en su caso, los Organismos garantes, determinen durante la sustanciación del recurso de revisión que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia, deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo.

 

Artículo 112.- El recurso de revisión podrá ser desechado por improcedente cuando:

 

I.- Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 103 de la presente Ley;

 

II.- El titular o su representante no acrediten debidamente su identidad y personalidad de este último;

 

III.- El Instituto o, en su caso, los Organismos garantes hayan resuelto anteriormente en definitiva sobre la materia del mismo;

 

IV.- No se actualice alguna de las causales del recurso de revisión previstas en el artículo 104 de la presente Ley;

 

V.- Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el recurrente, o en su caso, por el tercero interesado, en contra del acto recurrido ante el Instituto o los Organismos garantes, según corresponda;

 

VI.- El recurrente modifique o amplíe su petición en el recurso de revisión, únicamente respecto de los nuevos contenidos, o

 

VII.- El recurrente no acredite interés jurídico.

 

El desechamiento no implica la preclusión del derecho del titular para interponer ante el Instituto o los Organismos garantes, según corresponda, un nuevo recurso de revisión.

 

Artículo 113.- El recurso de revisión solo podrá ser sobreseído cuando:

 

I.- El recurrente se desista expresamente;

 

II.- El recurrente fallezca;

 

III.- Admitido el recurso de revisión, se actualice alguna causal de improcedencia en los términos de la presente Ley;

 

IV.- El responsable modifique o revoque su respuesta de tal manera que el recurso de revisión quede sin materia, o

 

V.- Quede sin materia el recurso de revisión.

 

Artículo 114.- El Instituto y los Organismos garantes deberán notificar a las partes y publicar las resoluciones, en versión pública, a más tardar, al tercer día siguiente de su aprobación.

 

Artículo 115.- Las resoluciones del Instituto y de los Organismos garantes serán vinculantes, definitivas e inatacables para los responsables.

 

Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

 

Artículo 116.- Tratándose de las resoluciones a los recursos de revisión de los Organismos garantes de las Entidades Federativas, los particulares podrán optar por acudir ante el Instituto interponiendo el recurso de inconformidad previsto en esta Ley o ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

 

Capítulo III.- Del Recurso de Inconformidad ante el Instituto

 

Artículo 117.- El titular, por sí mismo o a través de su representante, podrá impugnar la resolución del recurso de revisión emitido por el organismo garante ante el Instituto, mediante el recurso de inconformidad.

 

El recurso de inconformidad se podrá presentar ante el organismo garante que haya emitido la resolución o ante el Instituto, dentro de un plazo de quince días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada.

 

Los Organismos garantes deberán remitir el recurso de inconformidad al Instituto al día siguiente de haberlo recibido; así como las constancias que integren el procedimiento que haya dado origen a la resolución impugnada, el cual resolverá allegándose de los elementos que estime convenientes.

 

Artículo 118.- El recurso de inconformidad procederá contra las resoluciones emitidas por los Organismos garantes de las Entidades Federativas que:

 

I.- Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables;

 

II.- Determinen la inexistencia de datos personales, o

 

III.- Declaren la negativa de datos personales, es decir:

 

a)     Se entreguen datos personales incompletos;

 

b)    Se entreguen datos personales que no correspondan con los solicitados;

 

c)     Se niegue el acceso, rectificación, cancelación u oposición de datos personales;

 

d)    Se entregue o ponga a disposición datos personales en un formato incomprensible;

 

e)     El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales, o

 

f)     Se oriente a un trámite específico que contravenga lo dispuesto por el artículo 54 de la presente Ley.

 

Artículo 119.- Los únicos requisitos exigibles e indispensables en el escrito de interposición del recurso de inconformidad son:

 

I.- El área responsable ante la cual se presentó la solicitud para el ejercicio de los derechos ARCO;

 

II.- El organismo garante que emitió la resolución impugnada;

 

III.- El nombre del titular que recurre o de su representante y, en su caso, del tercero interesado, así como su domicilio o el medio que señale para recibir notificaciones;

 

IV.- La fecha en que fue notificada la resolución al titular;

 

V.- El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;

 

VI.- En su caso, copia de la resolución que se impugna y de la notificación correspondiente, y

 

VII.- Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante.

 

El promovente podrá acompañar su escrito con las pruebas y demás elementos que considere procedentes someter a juicio del Instituto.

 

Artículo 120.- El Instituto resolverá el recurso de inconformidad en un plazo que no podrá exceder de treinta días contados a partir del día siguiente de la interposición del recurso de inconformidad, plazo que podrá ampliarse por una sola vez y hasta por un periodo igual.

 

Artículo 121.- Durante el procedimiento a que se refiere el presente Capítulo, el Instituto deberá aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de inconformidad, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones.

 

Artículo 122.- Si en el escrito de interposición del recurso de inconformidad el titular no cumple con alguno de los requisitos previstos en el artículo 119 de la presente Ley y el Instituto no cuente con elementos para subsanarlos, éste deberá requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito.

 

El titular contará con un plazo que no podrá exceder de quince días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de inconformidad.

 

La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto para resolver el recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo.

 

Artículo 123.- Una vez concluida la etapa probatoria, el Instituto pondrá a disposición de las partes las actuaciones del procedimiento y les otorgará un plazo de cinco días para que formulen alegatos contados a partir de la notificación del acuerdo a que se refiere este artículo.

 

Artículo 124.- Las resoluciones del Instituto podrán:

 

I.- Sobreseer o desechar el recurso de inconformidad;

 

II.- Confirmar la resolución del organismo garante;

 

III.-  Revocar o modificar la resolución del organismo garante, o

 

IV.- Ordenar la entrega de los datos personales, en caso de omisión del responsable.

 

Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los procedimientos para asegurar su ejecución. Los Organismos garantes deberán informar al Instituto sobre el cumplimiento de sus resoluciones.

 

Si el Instituto no resuelve dentro del plazo establecido en este Capítulo, la resolución que se recurrió se entenderá confirmada.

 

Cuando el Instituto determine durante la sustanciación del recurso de inconformidad, que se pudo haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones previstas en la presente Ley y a las demás disposiciones aplicables en la materia, deberá hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo.

 

Las medidas de apremio previstas en la presente Ley, resultarán aplicables para efectos del cumplimiento de las resoluciones que recaigan a los recursos de inconformidad. Estas medidas de apremio deberán establecerse en la propia resolución.

 

Artículo 125.- El recurso de inconformidad podrá ser desechado por improcedente cuando:

 

I.- Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 117 de la presente Ley;

 

II.- El Instituto anteriormente haya resuelto en definitiva sobre la materia del mismo;

 

III.- No se actualicen las causales de procedencia del recurso de inconformidad, previstas en el artículo 118 de la presente Ley;

 

IV.- Se esté tramitando ante el Poder Judicial algún recurso o medio de defensa interpuesto por el titular, o en su caso, por el tercero interesado, en contra del acto recurrido, o

 

V.- El inconforme amplíe su solicitud en el recurso de inconformidad, únicamente respecto de los nuevos contenidos.

 

Artículo 126.- El recurso de inconformidad solo podrá ser sobreseído cuando:

 

I.- El recurrente se desista expresamente;

 

II.- El recurrente fallezca;

 

III.- El organismo garante modifique o revoque su respuesta de tal manera que el recurso de inconformidad quede sin materia, o

 

IV.- Admitido el recurso, se actualice alguna causal de improcedencia en los términos de la presente Ley.

 

Artículo 127.- En los casos en que a través del recurso de inconformidad se modifique o revoque la resolución del organismo garante, éste deberá emitir un nuevo fallo atendiendo los lineamientos que se fijaron al resolver la inconformidad, dentro del plazo de quince días, contados a partir del día siguiente al en que se hubiere notificado o se tenga conocimiento de la resolución dictada en la inconformidad.

 

Artículo 128.- Corresponderá a los Organismos garantes, en el ámbito de su competencia, realizar el seguimiento y vigilancia del debido cumplimiento por parte del responsable de la nueva resolución emitida como consecuencia de la inconformidad en términos de la presente Ley.

 

Artículo 129.- Las resoluciones del Instituto serán vinculantes, definitivas e inatacables para los responsables y los Organismos garantes.

 

Los titulares podrán impugnar dichas resoluciones ante el Poder Judicial de la Federación mediante el Juicio de Amparo.

 

Capítulo IV.- De la Atracción de los Recursos de Revisión

 

Artículo 130.- Para efectos de la presente Ley, el Pleno del Instituto, cuando así lo apruebe la mayoría de sus Comisionados, de oficio o a petición fundada de los Organismos garantes, podrá ejercer la facultad de atracción para conocer de aquellos recursos de revisión pendientes de resolución en materia de protección de datos personales, que por su interés y trascendencia así lo ameriten y cuya competencia original corresponde a los Organismos garantes, conforme a lo dispuesto en esta Ley y demás normativa aplicable.

 

Los recurrentes podrán hacer del conocimiento del Instituto la existencia de recursos de revisión que de oficio podría conocer.

 

Por lo que hace a los lineamientos y criterios generales de observancia obligatoria que el Instituto deberá emitir para determinar los recursos de revisión de interés y trascendencia que está obligado a conocer, conforme a la Ley General de Transparencia y Acceso a la Información Pública, adicionalmente en la atracción de recursos de revisión en materia de protección de datos personales se deberán considerar los siguientes factores:

 

I.- La finalidad del tratamiento de los datos personales;

 

II.- El número y tipo de titulares involucrados en el tratamiento de datos personales llevado a cabo por el responsable;

 

III.- La sensibilidad de los datos personales tratados;

 

IV.- Las posibles consecuencias que se derivarían de un tratamiento indebido o indiscriminado de datos personales, y

 

V.- La relevancia del tratamiento de datos personales, en atención al impacto social o económico del mismo y del interés público para conocer del recurso de revisión atraído.

 

Artículo 131.- Para efectos del ejercicio de la facultad de atracción a que se refiere este Capítulo, el Instituto motivará y fundamentará que el caso es de tal relevancia, novedad o complejidad, que su resolución podrá repercutir de manera sustancial en la solución de casos futuros para garantizar la tutela efectiva del derecho de protección de datos personales en posesión de sujetos obligados.

 

En los casos en los que el organismo garante de la Entidad Federativa sea el sujeto obligado recurrido, deberá notificar al Instituto, en un plazo que no excederá de tres días, a partir de que sea interpuesto el recurso. El Instituto atraerá y resolverá dichos recursos de revisión, conforme a lo establecido en el presente Capítulo.

 

Artículo 132.- Las razones emitidas por el Instituto para ejercer la facultad de atracción de un caso, únicamente constituirán un estudio preliminar para determinar si el asunto reúne los requisitos constitucionales y legales de interés y trascendencia, conforme al precepto anterior, por lo que no será necesario que formen parte del análisis de fondo del asunto.

 

Artículo 133.- El Instituto emitirá lineamientos y criterios generales de observancia obligatoria que permitan determinar los recursos de revisión de interés y trascendencia que estará obligado a conocer, así como los procedimientos internos para su tramitación, atendiendo a los plazos máximos señalados para el recurso de revisión.

 

Artículo 134.- La facultad de atracción conferida al Instituto se deberá ejercer conforme a las siguientes reglas:

 

I.- Cuando se efectúe de oficio, el Pleno del Instituto, cuando así lo aprueben la mayoría de sus Comisionados, podrá ejercer la atracción en cualquier momento, en tanto no haya sido resuelto el recurso de revisión por el organismo garante competente, para lo cual notificará a las partes y requerirá el Expediente al organismo garante correspondiente, o

 

II.- Cuando la petición de atracción sea formulada por el organismo garante de la Entidad Federativa, éste contará con un plazo no mayor a cinco días, salvo lo dispuesto en el último párrafo del artículo 105 de esta Ley, para solicitar al Instituto que analice y, en su caso, ejerza la facultad de atracción sobre el asunto puesto a su consideración.

 

Transcurrido dicho plazo se tendrá por precluido el derecho del organismo garante respectivo para hacer la solicitud de atracción.

 

El Instituto contará con un plazo no mayor a diez días para determinar si ejerce la facultad de atracción, en cuyo caso, notificará a las partes y solicitará el Expediente del recurso de revisión respectivo.

 

Artículo 135.- La solicitud de atracción del recurso de revisión interrumpirá el plazo que tienen los Organismos garantes para resolverlo. El cómputo continuará a partir del día siguiente al día en que el Instituto haya notificado la determinación de no atraer el recurso de revisión.

 

Artículo 136.- Previo a la decisión del Instituto sobre el ejercicio de la facultad de atracción a que se refiere el artículo anterior, el organismo garante de la Entidad Federativa a quien corresponda el conocimiento originario del asunto, deberá agotar el análisis de todos los aspectos cuyo estudio sea previo al fondo del asunto, hecha excepción del caso en que los aspectos de importancia y trascendencia deriven de la procedencia del recurso.

 

Si el Pleno del Instituto, cuando así lo apruebe la mayoría de sus Comisionados, decide ejercer la facultad de atracción se avocará al conocimiento o estudio de fondo del asunto materia del recurso de revisión atraído.

 

El o los Comisionados que en su momento hubiesen votado en contra de ejercer la facultad de atracción, no estarán impedidos para pronunciarse respecto del fondo del asunto.

 

Artículo 137.- La resolución del Instituto será definitiva e inatacable para el organismo garante y para el sujeto obligado de que se trate.

 

En todo momento, los particulares podrán impugnar las resoluciones del Instituto ante el Poder Judicial de la Federación.

 

Artículo 138.- Únicamente el Consejero Jurídico del Gobierno podrá interponer recurso de revisión en materia de seguridad nacional ante la Suprema Corte de Justicia de la Nación, en el caso que las resoluciones del Instituto a los recursos descritos en este Título, puedan poner en peligro la seguridad nacional.

 

Dicho recurso de revisión en materia de seguridad nacional se tramitará en los términos que se establecen en el siguiente Capítulo V denominado «Del Recurso de Revisión en materia de Seguridad Nacional», del presente Título.

 

Capítulo V.- Del Recurso de Revisión en Materia de Seguridad Nacional

 

Artículo 139.- El Consejero Jurídico del Gobierno Federal podrá interponer recurso de revisión en materia de seguridad nacional directamente ante la Suprema Corte de Justicia de la Nación, cuando considere que las resoluciones emitidas por el Instituto ponen en peligro la seguridad nacional.

 

El recurso deberá interponerse durante los siete días siguientes a aquél en el que el organismo garante notifique la resolución al sujeto obligado. La Suprema Corte de Justicia de la Nación determinará, de inmediato, en su caso, la suspensión de la ejecución de la resolución y dentro de los cinco días siguientes a la interposición del recurso resolverá sobre su admisión o improcedencia.

 

Artículo 140.- En el escrito del recurso, el Consejero Jurídico del Gobierno Federal deberá señalar la resolución que se impugna, los fundamentos y motivos por los cuales considera que se pone en peligro la seguridad nacional, así como los elementos de prueba necesarios.

 

Artículo 141.- La información reservada o confidencial que, en su caso, sea solicitada por la Suprema Corte de Justicia de la Nación por resultar indispensable para resolver el asunto, deberá ser mantenida con ese carácter y no estará disponible en el Expediente, salvo en las excepciones previstas en el artículo 120 de la Ley General de Transparencia y Acceso a la Información Pública.

 

En todo momento, los Ministros deberán tener acceso a la información clasificada para determinar su naturaleza, según se requiera. El acceso se dará de conformidad con la normatividad previamente establecida para el resguardo o salvaguarda de la información por parte de los sujetos obligados.

 

Artículo 142.- La Suprema Corte de Justicia de la Nación resolverá con plenitud de jurisdicción, y en ningún caso, procederá el reenvío.

 

Artículo 143.- Si la Suprema Corte de Justicia de la Nación confirma el sentido de la resolución recurrida, el sujeto obligado deberá dar cumplimiento en los términos que establece la disposición correspondiente de esta Ley.

 

En caso de que se revoque la resolución, el Instituto deberá actuar en los términos que ordene la Suprema Corte de Justicia de la Nación.

 

Capítulo VI.- De los Criterios de Interpretación

 

Artículo 144.- Una vez que hayan causado ejecutoria las resoluciones dictadas con motivo de los recursos que se sometan a su competencia, el Instituto podrá emitir los criterios de interpretación que estime pertinentes y que deriven de lo resuelto en los mismos, conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública y demás normativa aplicable.

 

El Instituto podrá emitir criterios de carácter orientador para los Organismos garantes, que se establecerán por reiteración al resolver tres casos análogos de manera consecutiva en el mismo sentido, por al menos dos terceras partes del Pleno del Instituto, derivados de resoluciones que hayan causado estado.

 

Artículo 145.- Los criterios se compondrán de un rubro, un texto y el precedente o precedentes que, en su caso, hayan originado su emisión.

 

Todo criterio que emita el Instituto deberá contener una clave de control para su debida identificación.

 

TÍTULO DÉCIMO.- FACULTAD DE VERIFICACIÓN DEL INSTITUTO Y LOS ORGANISMOS GARANTES

 

Capítulo Único.- Del Procedimiento de Verificación

 

Artículo 146.- El Instituto y los Organismos garantes, en el ámbito de sus respectivas competencias, tendrán la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley y demás ordenamientos que se deriven de ésta.

 

En el ejercicio de las funciones de vigilancia y verificación, el personal del Instituto o, en su caso, de los Organismos garantes estarán obligados a guardar confidencialidad sobre la información a la que tengan acceso en virtud de la verificación correspondiente.

 

El responsable no podrá negar el acceso a la documentación solicitada con motivo de una verificación, o a sus bases de datos personales, ni podrá invocar la reserva o la confidencialidad de la información.

 

Artículo 147.- La verificación podrá iniciarse:

 

I.- De oficio cuando el Instituto o los Organismos garantes cuenten con indicios que hagan presumir fundada y motivada la existencia de violaciones a las leyes correspondientes, o

 

II.- Por denuncia del titular cuando considere que ha sido afectado por actos del responsable que puedan ser contrarios a lo dispuesto por la presente Ley y demás normativa aplicable, o en su caso, por cualquier persona cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en la presente Ley y demás disposiciones que resulten aplicables en la materia.

 

El derecho a presentar una denuncia precluye en el término de un año contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los hechos u omisiones sean de tracto sucesivo, el término empezará a contar a partir del día hábil siguiente al último hecho realizado.

 

La verificación no procederá en los supuestos de procedencia del recurso de revisión o inconformidad previstos en la presente Ley.

 

La verificación no se admitirá en los supuestos de procedencia del recurso de revisión o inconformidad, previstos en la presente Ley.

 

Previo a la verificación respectiva, el Instituto o los Organismos garantes podrán desarrollar investigaciones previas, con el fin de contar con elementos para fundar y motivar el acuerdo de inicio respectivo.

 

Artículo 148.- Para la presentación de una denuncia no podrán solicitarse mayores requisitos que los que a continuación se describen:

 

I.- El nombre de la persona que denuncia, o en su caso, de su representante;

 

II.- El domicilio o medio para recibir notificaciones de la persona que denuncia;

 

III.- La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probar su dicho;

 

IV.- El responsable denunciado y su domicilio, o en su caso, los datos para su identificación y/o ubicación;

 

V.- La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar, bastará la huella digital.

 

La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto o los Organismos garantes, según corresponda.

 

Una vez recibida la denuncia, el Instituto y los Organismos garantes, según corresponda, deberán acusar recibo de la misma. El acuerdo correspondiente se notificará al denunciante.

 

Artículo 149.- La verificación iniciará mediante una orden escrita que funde y motive la procedencia de la actuación por parte del Instituto o de los Organismos garantes, la cual tiene por objeto requerir al responsable la documentación e información necesaria vinculada con la presunta violación y/o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas.

 

Para la verificación en instancias de seguridad nacional y seguridad pública, se requerirá en la resolución, la aprobación del Pleno del Instituto, por mayoría calificada de sus Comisionados, o de los integrantes de los Organismos garantes de las Entidades Federativas, según corresponda; así como de una fundamentación y motivación reforzada de la causa del procedimiento, debiéndose asegurar la información sólo para uso exclusivo de la autoridad y para los fines establecidos en el artículo 150.

 

El procedimiento de verificación deberá tener una duración máxima de cincuenta días.

 

El Instituto o los organismos garantes podrán ordenar medidas cautelares, si del desahogo de la verificación advierten un daño inminente o irreparable en materia de protección de datos personales, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los sujetos obligados.

 

Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta entonces los sujetos obligados lleven a cabo las recomendaciones hechas por el Instituto o los Organismos garantes según corresponda.

 

Artículo 150.- El procedimiento de verificación concluirá con la resolución que emita el Instituto o los Organismos garantes, en la cual, se establecerán las medidas que deberá adoptar el responsable en el plazo que la misma determine.

 

Artículo 151.- Los responsables podrán voluntariamente someterse a la realización de auditorías por parte del Instituto o los Organismos garantes, según corresponda, que tengan por objeto verificar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las disposiciones previstas en la presente Ley y demás normativa que resulte aplicable.

 

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles implementados por el responsable, identificar sus deficiencias, así como proponer acciones correctivas complementarias, o bien, recomendaciones que en su caso correspondan.

 

TÍTULO DÉCIMO PRIMERO.- MEDIDAS DE APREMIO Y RESPONSABILIDADES

 

Capítulo I.- De las Medidas de Apremio

 

Artículo 152.- Para el cumplimiento de las resoluciones emitidas por el Instituto o los Organismos garantes, según corresponda, éstos organismos y el responsable, en su caso, deberán observar lo dispuesto en el Capítulo VI del Título Octavo de la Ley General de Transparencia y Acceso a la Información Pública.

 

Artículo 153.- El Instituto y los Organismos garantes podrán imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones:

 

I.- La amonestación pública, o

 

II.- La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.

 

El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de transparencia del Instituto y los Organismos garantes y considerados en las evaluaciones que realicen éstos.

 

En caso de que el incumplimiento de las determinaciones del Instituto y los Organismos garantes implique la presunta comisión de un delito o una de las conductas señaladas en el artículo 163 de la presente Ley, deberán denunciar los hechos ante la autoridad competente. Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos.

 

Artículo 154.- Si a pesar de la ejecución de las medidas de apremio previstas en el artículo anterior no se cumpliere con la resolución, se requerirá el cumplimiento al superior jerárquico para que en el plazo de cinco días lo obligue a cumplir sin demora.

 

De persistir el incumplimiento, se aplicarán sobre aquéllas medidas de apremio establecidas en el artículo anterior. Transcurrido el plazo, sin que se haya dado cumplimiento, se dará vista la autoridad competente en materia de responsabilidades.

 

Artículo 155.- Las medidas de apremio a que se refiere el presente Capítulo, deberán ser aplicadas por el Instituto y los Organismos garantes, por sí mismos o con el apoyo de la autoridad competente, de conformidad con los procedimientos que establezcan las leyes respectivas.

 

Artículo 156.- Las multas que fijen el Instituto y los Organismos garantes se harán efectivas por el Servicio de Administración Tributaria o las Secretarías de Finanzas de las Entidades Federativas, según corresponda, a través de los procedimientos que las leyes establezcan.

 

Artículo 157.- Para calificar las medidas de apremio establecidas en el presente Capítulo, el Instituto y los Organismos garantes deberán considerar:

 

I.-La gravedad de la falta del responsable, determinada por elementos tales como el daño causado; los indicios de intencionalidad; la duración del incumplimiento de las determinaciones del Instituto o los Organismos garantes y la afectación al ejercicio de sus atribuciones;

 

II.- La condición económica del infractor, y

 

III.- La reincidencia.

 

El Instituto y los Organismos garantes establecerán mediante lineamientos de carácter general, las atribuciones de las áreas encargadas de calificar la gravedad de la falta de observancia a sus determinaciones y de la notificación y ejecución de las medidas de apremio que apliquen e implementen, conforme a los elementos desarrollados en este Capítulo.

 

Artículo 158.- En caso de reincidencia, el Instituto o los Organismos garantes podrán imponer una multa equivalente hasta el doble de la que se hubiera determinado por el Instituto o los Organismos garantes.

 

Se considerará reincidente al que habiendo incurrido en una infracción que haya sido sancionada, cometa otra del mismo tipo o naturaleza.

 

Artículo 159.- Las medidas de apremio deberán aplicarse e implementarse en un plazo máximo de quince días, contados a partir de que sea notificada la medida de apremio al infractor.

 

Artículo 160.- La amonestación pública será impuesta por el Instituto o los Organismos garantes y será ejecutada por el superior jerárquico inmediato del infractor con el que se relacione.

 

Artículo 161.- El Instituto o los Organismos garantes podrán requerir al infractor la información necesaria para determinar su condición económica, apercibido de que en caso de no proporcionar la misma, las multas se cuantificarán con base a los elementos que se tengan a disposición, entendidos como los que se encuentren en los registros públicos, los que contengan medios de información o sus propias páginas de Internet y, en general, cualquiera que evidencie su condición, quedando facultado el Instituto o los Organismos garantes para requerir aquella documentación que se considere indispensable para tal efecto a las autoridades competentes.

 

Artículo 162.- En contra de la imposición de medidas de apremio, procede el recurso correspondiente ante el Poder Judicial de la Federación, o en su caso ante el Poder Judicial correspondiente en las Entidades Federativas.

 

Capítulo II.- De las Sanciones

 

Artículo 163.- Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes:

 

I.- Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO;

 

II.- Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate;

 

III.- Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión;

 

IV.- Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley;

 

V.- No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 27 de la presente Ley, según sea el caso, y demás disposiciones que resulten aplicables en la materia;

 

VI.- Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables. La sanción sólo procederá cuando exista una resolución previa, que haya quedado firme, respecto del criterio de clasificación de los datos personales;

 

VII.- Incumplir el deber de confidencialidad establecido en el artículo 42 de la presente Ley;

 

VIII.- No establecer las medidas de seguridad en los términos que establecen los artículos 31, 32 y 33 de la presente Ley;

 

IX.- Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad según los artículos 31, 32 y 33 de la presente Ley;

 

X.- Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley;

 

XI.- Obstruir los actos de verificación de la autoridad;

 

XII.- Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley;

 

XIII.- No acatar las resoluciones emitidas por el Instituto y los Organismos garantes, y

 

XIV.- Omitir la entrega del informe anual y demás informes a que se refiere el artículo 44, fracción VII de la Ley General de Transparencia y Acceso a la Información Pública, o bien, entregar el mismo de manera extemporánea.

 

Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII, y XIV, así como la reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán consideradas como graves para efectos de su sanción administrativa.

 

En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente.

 

Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.

 

Artículo 164.- Para las conductas a que se refiere el artículo anterior se dará vista a la autoridad competente para que imponga o ejecute la sanción.

 

Artículo 165.- Las responsabilidades que resulten de los procedimientos administrativos correspondientes, derivados de la violación a lo dispuesto por el artículo 163 de esta Ley, son independientes de las del orden civil, penal o de cualquier otro tipo que se puedan derivar de los mismos hechos.

 

Dichas responsabilidades se determinarán, en forma autónoma, a través de los procedimientos previstos en las leyes aplicables y las sanciones que, en su caso, se impongan por las autoridades competentes, también se ejecutarán de manera independiente.

 

Para tales efectos, el Instituto o los organismos garantes podrán denunciar ante las autoridades competentes cualquier acto u omisión violatoria de esta Ley y aportar las pruebas que consideren pertinentes, en los términos de las leyes aplicables.

 

Artículo 166.- Ante incumplimientos por parte de los partidos políticos, el Instituto u organismo garante competente, dará vista, según corresponda, al Instituto Nacional Electoral o a los organismos públicos locales electorales de las Entidades Federativas competentes, para que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables.

 

En el caso de probables infracciones relacionadas con fideicomisos o fondos públicos, el Instituto u organismo garante competente deberá dar vista al órgano interno de control del sujeto obligado relacionado con éstos, cuando sean servidores públicos, con el fin de que instrumenten los procedimientos administrativos a que haya lugar.

 

Artículo 167.- En aquellos casos en que el presunto infractor tenga la calidad de servidor público, el Instituto o el organismo garante, deberá remitir a la autoridad competente, junto con la denuncia correspondiente, un Expediente en que se contengan todos los elementos que sustenten la presunta responsabilidad administrativa.

 

La autoridad que conozca del asunto, deberá informar de la conclusión del procedimiento y, en su caso, de la ejecución de la sanción al Instituto o al organismo garante, según corresponda.

 

A efecto de sustanciar el procedimiento citado en este artículo, el Instituto, o el organismo garante que corresponda, deberá elaborar una denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la descripción precisa de los actos u omisiones que, a su consideración, repercuten en la adecuada aplicación de la presente Ley y que pudieran constituir una posible responsabilidad.

 

Asimismo, deberá elaborar un expediente que contenga todos aquellos elementos de prueba que considere pertinentes para sustentar la existencia de la posible responsabilidad. Para tal efecto, se deberá acreditar el nexo causal existente entre los hechos controvertidos y las pruebas presentadas.

 

La denuncia y el Expediente deberán remitirse a la contraloría, órgano interno de control o equivalente dentro de los quince días siguientes a partir de que el Instituto o el organismo garante correspondiente tenga conocimiento de los hechos.

 

Artículo 168.- En caso de que el incumplimiento de las determinaciones de los Organismos garantes implique la presunta comisión de un delito, el organismo garante respectivo deberá denunciar los hechos ante la autoridad competente.

 

TRANSITORIOS

 

Primero.- La presente Ley entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

 

Segundo.- La Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y las leyes vigentes de las Entidades Federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en esta norma en un plazo de seis meses siguientes contado a partir de la entrada en vigor de la presente Ley.

 

En caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido en el párrafo anterior, resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

 

Tercero.- La Cámara de Diputados, las Legislaturas de las Entidades Federativas, en el ámbito de sus respectivas competencias, deberán hacer las previsiones presupuestales necesarias para la operación de la presente Ley y establecer las partidas presupuestales específicas en el Presupuesto de Egresos de la Federación y en los Presupuestos de Egresos de las Entidades Federativas, según corresponda, para el siguiente ejercicio fiscal a su entrada en vigor.

 

Cuarto.- Se derogan todas aquellas disposiciones en materia de protección de datos personales, de carácter federal, estatal y municipal, que contravengan lo dispuesto por la presente Ley.

 

Quinto.- El Instituto y los Organismos garantes deberán emitir los lineamientos a que se refiere esta Ley y publicarlos en el Diario Oficial de la Federación, o en sus Gacetas o Periódicos Oficiales locales, respectivamente, a más tardar en un año a partir de la entrada en vigor del presente Decreto.

 

Sexto.- El Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales deberá emitir el Programa Nacional de Protección de Datos Personales a que se refiere esta Ley y publicarlo en el Diario Oficial de la Federación, a más tardar en un año a partir de la entrada en vigor del presente Decreto, independientemente del ejercicio de otras atribuciones que se desprenden de la Ley General de Transparencia y Acceso a la Información Pública.

 

Séptimo.- Los sujetos obligados correspondientes deberán tramitar, expedir o modificar su normatividad interna a más tardar dentro de los dieciocho meses siguientes a la entrada en vigor de esta Ley.

 

Octavo.- No se podrán reducir o ampliar en la normatividad de las Entidades Federativas, los procedimientos y plazos vigentes aplicables en la materia, en perjuicio de los titulares de datos personales.

 

Ciudad de México, a 13 de diciembre de 2016

Sen. Pablo Escudero Morales,

Presidente.- Dip. Edmundo Javier Bolaños Aguilar,

Presidente.- Sen. Lorena Cuellar Cisneros,

Secretaria.- Dip. María Eugenia Ocampo Bedolla

 

En cumplimiento de lo dispuesto por la fracción I del Artículo 89 de la Constitución Política de los Estados Unidos Mexicanos, y para su debida publicación y observancia, expido el presente Decreto en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, a veinticuatro de enero de dos mil diecisiete.-

Enrique Peña Nieto.-

El Secretario de Gobernación, Miguel Ángel Osorio Chong

 

 

17Oct/16

Ley Orgánica de Telecomunicaciones de 10 de febrero de 2015

REPÚBLICA DEL ECUADOR ASAMBLEA NACIONAL

Oficio nº SAN-2015-0263 Quito, 12 de febrero de 2015

Ingeniero Hugo Del Pozo Barrezueta Director del Registro Oficial En su despacho

De mis consideraciones:

La Asamblea Nacional, de conformidad con las atribuciones que le confiere la Constitución de la República del Ecuador y la Ley Orgánica de la Función Legislativa, discutió y aprobó el PROYECTO DE LEY ORGÁNICA DE TELECOMUNICACIONES.

En sesiones de 3 y 10 de febrero de 2015, el Pleno de la Asamblea Nacional conoció y se pronunció sobre la objeción parcial presentada por el señor Presidente Constitucional de la República.

Por lo expuesto; y, tal como dispone el artículo 138 de la Constitución de la República del Ecuador y el artículo 64 de la Ley Orgánica de la Función Legislativa, acompaño el texto de la LEY ORGÁNICA DE TELECOMUNICACIONES, para que se sirva publicarlo en el Registro Oficial.

Atentamente,

DRA. LIBIA RIVAS ORDOÑEZ Secretaria General

REPÚBLICA DEL ECUADOR ASAMBLEA NACIONAL

CERTIFICACIÓN

En mi calidad de Secretaria General de la Asamblea Nacional, me permito CERTIFICAR que la Asamblea Nacional discutió y aprobó el “PROYECTO DE LEY ORGÁNICA DE TELECOMUNICACIONES”, en primer debate el 6 y 11 de noviembre de 2014; en segundo debate el 17 de diciembre de 2014 y se pronunció sobre la objeción parcial del Presidente Constitucional de la República el 03 y 10 de febrero de 2015.

Quito, 12 de febrero de 2015

DRA. LIBIA RIVAS ORDOÑEZ Secretaria General

EL PLENO

CONSIDERANDO

Que, el artículo 261 de la Constitución de la República, determina que el Estado central tendrá competencias exclusivas sobre: …“10. El espectro radioeléctrico y el régimen general de comunicaciones y telecomunicaciones; puertos y aeropuertos.”;

Que, de conformidad al artículo 313 de la Constitución, se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley, reservando al Estado, el derecho de administrar, regular, controlar y gestionar los sectores estratégicos;

Que, la Constitución de la República en su artículo 408, determina que el espectro radioeléctrico es un recurso natural de propiedad inalienable, imprescriptible e inembargable del Estado;

Que, según el artículo 314 de la Constitución de la República, el Estado será responsable de la provisión de los servicios públicos, entre otros, el de telecomunicaciones y dispondrá que los precios y tarifas de estos servicios públicos sean equitativos, estableciendo su control y regulación;

Que, la Constitución de la República en su artículo 16, consagra el derecho de todas las personas en forma individual o colectiva al acceso en igualdad de condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres para la explotación de redes inalámbricas;

Que, según lo consagrado en el artículo 17 de la misma Carta Magna, el Estado fomentará la pluralidad y la diversidad en la comunicación, y al efecto, garantizará la asignación, a través de métodos transparentes y en igualdad de condiciones, de las frecuencias del espectro radioeléctrico, para la gestión de estaciones de radio y televisión públicas, privadas y comunitarias, así como el acceso a bandas libres para la explotación de redes inalámbricas, y precautelará que en su utilización prevalezca el interés colectivo;

Que, el artículo 315 de la Constitución de la República dispone que el Estado constituirá empresas públicas para la gestión de sectores estratégicos, la prestación de servicios públicos, el aprovechamiento sustentable de recursos naturales o de bienes públicos y el desarrollo de otras actividades económicas y que las empresas públicas estarán bajo la regulación y el control específico de los organismos pertinentes, de acuerdo con la ley, estableciendo para el efecto que, la ley definirá la participación de las empresas públicas en empresas mixtas en las que el Estado siempre tendrá la mayoría accionaria, para la participación en la gestión de los sectores estratégicos y la prestación de los servicios públicos;

Que, de conformidad al artículo 316 de la Constitución de la República, el Estado podrá delegar la participación en los sectores estratégicos y servicios públicos a empresas mixtas en las cuales tenga mayoría accionaria. La delegación se sujetará al interés nacional y respetará los plazos y límites fijados en la ley para cada sector estratégico, y de forma excepcional, podrá delegar a la iniciativa privada y a la economía popular y solidaria, el ejercicio de estas actividades, en los casos que establezca la ley;

Que, mediante Resolución No. 1 de la Corte Constitucional, publicada en el Registro Oficial Suplemento 629 de 30 de enero del 2012, se interpretan los artículos 315 y 316 distinguiendo la gestión de la administración, regulación y control por el Estado y determinando el rol de las empresas públicas delegatarias de servicios públicos;

Que, el artículo 84 de la Constitución de la República determina que la Asamblea Nacional y todo órgano con potestad normativa tendrá la obligación de adecuar, formal y materialmente, las leyes y demás normas jurídicas a los derechos previstos en la Constitución y los tratados internacionales y los que sean necesarios para garantizar la dignidad del ser humano o de las comunidades, pueblos y nacionalidades. En ningún caso, la reforma de la Constitución, las leyes, otras normas jurídicas ni los actos del poder público atentarán contra los derechos que reconoce la Constitución;

Que, la Disposición Transitoria TERCERA de la Constitución de la República determina que las superintendencias existentes continuarán en funcionamiento hasta que el órgano legislativo expida las leyes correspondientes;

Que, el artículo 133, numeral 2 de la Constitución de la República, establece que tendrán la categoría de leyes orgánicas aquellas que regulen el ejercicio de los derechos y garantías constitucionales; y,

En ejercicio de las atribuciones conferidas por el numeral 6 del artículo 120 de la Constitución, expide la siguiente:

LEY ORGÁNICA DE TELECOMUNICACIONES

TÍTULO I.- DISPOSICIONES GENERALES

CAPÍTULO I.- Consideraciones Preliminares

Artículo 1.- Objeto.

Esta Ley tiene por objeto desarrollar, el régimen general de telecomunicaciones y del espectro radioeléctrico como sectores estratégicos del Estado que comprende las potestades de administración, regulación, control y gestión en todo el territorio nacional, bajo los principios y derechos constitucionalmente establecidos.

Artículo 2.- Ámbito.

La presente Ley se aplicará a todas las actividades de establecimiento, instalación y explotación de redes, uso y explotación del espectro radioeléctrico, servicios de telecomunicaciones y a todas aquellas personas naturales o jurídicas que realicen tales actividades a fin de garantizar el cumplimiento de los derechos y deberes de los prestadores de servicios y usuarios.

Las redes e infraestructura usadas para la prestación de servicios de radiodifusión sonora y televisiva y las redes e infraestructura de los sistemas de audio y vídeo por suscripción, están sometidas a lo establecido en la presente Ley.

No corresponde al objeto y ámbito de esta Ley, la regulación de contenidos.

Artículo 3.- Objetivos.

Son objetivos de la presente Ley:

  1. Promover el desarrollo y fortalecimiento del sector de las telecomunicaciones.
  1. Fomentar la inversión nacional e internacional, pública o privada para el desarrollo de las telecomunicaciones.
  1. Incentivar el desarrollo de la industria de productos y servicios de telecomunicaciones.
  1. Promover y fomentar la convergencia de redes, servicios y equipos.
  1. Promover el despliegue de redes e infraestructura de telecomunicaciones, que incluyen audio y vídeo por suscripción y similares, bajo el cumplimiento de normas técnicas, políticas nacionales y regulación de ámbito nacional, relacionadas con ordenamiento de redes, soterramiento y mimetización.
  1. Promover que el país cuente con redes de telecomunicaciones de alta velocidad y capacidad, distribuidas en el territorio nacional, que permitan a la población entre otros servicios, el acceso al servicio de Internet de banda ancha.
  1. Establecer el marco legal para la provisión de los servicios públicos de telecomunicaciones como responsabilidad del Estado Central, con sujeción a los principios constitucionalmente establecidos y a los señalados en la presente Ley y normativa aplicable, así como establecer los mecanismos de delegación de los sectores estratégicos de telecomunicaciones y espectro radioeléctrico.
  1. Establecer el marco legal para la emisión de regulación ex ante, que permita coadyuvar en el fomento, promoción y preservación de las condiciones de competencia en los mercados correspondientes en el sector de las telecomunicaciones, de manera que se propenda a la reducción de tarifas y a la mejora de la calidad en la prestación de servicios de telecomunicaciones.
  1. Establecer las condiciones idóneas para garantizar a los ciudadanos el derecho a acceder a servicios públicos de telecomunicaciones de óptima calidad, con precios y tarifas equitativas y a elegirlos con libertad así como a una información precisa y no engañosa sobre su contenido y características.
  1. Establecer el ámbito de control de calidad y los procedimientos de defensa de los usuarios de servicios de telecomunicaciones, las sanciones por la vulneración de estos derechos, la reparación e indemnización por deficiencias, daños o mala calidad de los servicios y por la interrupción de los servicios públicos de telecomunicaciones que no sea ocasionada por caso fortuito o fuerza mayor.
  1. Garantizar la asignación a través de métodos transparentes y en igualdad de condiciones de las frecuencias del espectro radioeléctrico que se atribuyan para la gestión de estaciones de radio y televisión, públicas, privadas y comunitarias así como el acceso a bandas libres para la explotación de redes inalámbricas, precautelando que en su utilización prevalezca el interés colectivo y bajo los principios y normas que rigen la distribución equitativa del espectro radioeléctrico.
  1. Promover y supervisar el uso efectivo y eficiente del espectro radioeléctrico y demás recursos limitados o escasos de telecomunicaciones y garantizar la adecuada gestión y administración de tales recursos, sin permitir el oligopolio o monopolio directo o indirecto del uso de frecuencias y el acaparamiento.
  1. Fomentar la neutralidad tecnológica y la neutralidad de red.
  1. Garantizar que los derechos de las personas, especialmente de aquellas que constituyen grupos de atención prioritaria, sean respetados y satisfechos en el ámbito de la presente Ley.
  1. Facilitar el acceso de los usuarios con discapacidad a los servicios de telecomunicaciones, al uso de equipos terminales y a las exoneraciones y beneficios tarifarios que se determinen en el Ordenamiento Jurídico Vigente.
  1. Simplificar procedimientos para el otorgamiento de títulos habilitantes y actividades relacionadas con su administración y gestión.
  1. Establecer los mecanismos de coordinación con organismos y entidades del Estado para atender temas relacionados con el ámbito de las telecomunicaciones en cuanto a seguridad del Estado, emergencias y entrega de información para investigaciones judiciales, dentro del debido proceso.

Artículo 4.- Principios.

La administración, regulación, control y gestión de los sectores estratégicos de telecomunicaciones y espectro radioeléctrico se realizará de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia.

La provisión de los servicios públicos de telecomunicaciones responderá a los principios constitucionales de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad así como a los principios de solidaridad, no discriminación, privacidad, acceso universal, transparencia, objetividad, proporcionalidad, uso prioritario para impulsar y fomentar la sociedad de la información y el conocimiento, innovación, precios y tarifas equitativos orientados a costos, uso eficiente de la infraestructura y recursos escasos, neutralidad tecnológica, neutralidad de red y convergencia.

Artículo 5.- Definición de telecomunicaciones.

Se entiende por telecomunicaciones toda transmisión, emisión o recepción de signos, señales, textos, vídeo, imágenes, sonidos o informaciones de cualquier naturaleza, por sistemas alámbricos, ópticos o inalámbricos, inventados o por inventarse. La presente definición no tiene carácter taxativo, en consecuencia, quedarán incluidos en la misma, cualquier medio, modalidad o tipo de transmisión derivada de la innovación tecnológica.

Artículo 6.- Otras Definiciones.

Para efectos de la presente Ley se aplicarán las siguientes definiciones:

Espectro radioeléctrico.- Conjunto de ondas electromagnéticas que se propagan por el espacio sin necesidad de guía artificial utilizado para la prestación de servicios de telecomunicaciones, radiodifusión sonora y televisión, seguridad, defensa, emergencias, transporte e investigación científica, entre otros. Su utilización responderá a los principios y disposiciones constitucionales.

Estación.- Uno o más transmisores o receptores o una combinación de transmisores y receptores, incluyendo las instalaciones accesorias, necesarios para la operación de un servicio vinculado con el uso de espectro radioeléctrico.

Frecuencias esenciales.- Frecuencias íntimamente vinculadas a los sistemas y redes involucrados en la prestación de un servicio, utilizadas para el acceso de los usuarios al servicio, por medio de equipos terminales.

Frecuencias no esenciales.- Frecuencias vinculadas a sistemas y redes de telecomunicaciones no consideradas como frecuencias esenciales.

Homologación.- Es el proceso por el que un equipo terminal de una clase, marca y modelo es sometido a verificación técnica para determinar si es adecuado para operar en una red de telecomunicaciones específica.

Radiaciones no ionizantes.- Para fines de aplicación de la presente Ley, se entenderá como la radiación generada por uso de frecuencias del espectro radioeléctrico que no es capaz de impartir directamente energía a una molécula o incluso a un átomo, de modo que pueda remover electrones o romper enlaces químicos.

Radiodifusión.- Servicio cuyas emisiones se destinan a ser recibidas directamente por el público en general, abarcando emisiones sonoras, de televisión o de otro género.

Sistema de audio y vídeo por suscripción.- Servicio de suscripción, que transmite y eventualmente recibe señales de imagen, sonido, multimedia y datos destinados exclusivamente a un público particular de abonados.

Los términos técnicos empleados en esta Ley no definidos, tendrán el significado adoptado por la Unión Internacional de Telecomunicaciones (UIT), por los convenios y tratados internacionales ratificados por Ecuador, o en su defecto, a lo establecido en el Reglamento General a la presente Ley y en las regulaciones respectivas.

CAPÍTULO II.- Competencias

Artículo 7.- Competencias del Gobierno Central.

El Estado, a través del Gobierno Central tiene competencias exclusivas sobre el espectro radioeléctrico y el régimen general de telecomunicaciones. Dispone del derecho de administrar, regular y controlar los sectores estratégicos de telecomunicaciones y espectro radioeléctrico, lo cual incluye la potestad para emitir políticas públicas, planes y normas técnicas nacionales, de cumplimiento en todos los niveles de gobierno del Estado.

La gestión, entendida como la prestación del servicio público de telecomunicaciones se lo realizará conforme a las disposiciones constitucionales y a lo establecido en la presente Ley.

Tiene competencia exclusiva y excluyente para determinar y recaudar los valores que por concepto de uso del espectro radioeléctrico o derechos por concesión o asignación correspondan.

Artículo 8.- Prestación de servicios en Estado de Excepción.

En caso de agresión; conflicto armado internacional o interno; grave conmoción interna, calamidad pública; o desastre natural o emergencia nacional, regional o local, cuando el Decreto Ejecutivo de Estado de Excepción que emita el Presidente o Presidenta de la República, involucre la necesidad de utilización de los servicios de telecomunicaciones, los prestadores que operen redes públicas de telecomunicaciones tienen la obligación de permitir el control directo e inmediato por parte del ente rector de la defensa nacional, de los servicios de telecomunicaciones en el área afectada. Dicho control cesará cuando se levante la declaratoria de Estado de Excepción conforme lo previsto en el artículo 166 de la Constitución de la República del Ecuador y el Decreto de Estado de Excepción.

El Gobierno Central a través de la Agencia de Regulación y Control de las Telecomunicaciones, regulará el alcance, derechos, obligaciones, pago del valor justo del servicio utilizado así como el procedimiento a implementarse a través del correspondiente protocolo.

Dentro de las obligaciones de los prestadores de servicios de telecomunicaciones, radiodifusión y televisión y sistemas de audio y vídeo por suscripción se incluye la difusión de alertas dispuestas por la autoridad competente, que sus servicios lo permitan, para casos de seguridad nacional o desastres naturales así como las demás acciones y obligaciones que se establezcan dentro de dicho ámbito.

TÍTULO II.- REDES Y PRESTACIÓN DE SERVICIOS DE TELECOMUNICACIONES

CAPÍTULO I.- Establecimiento y explotación de redes

Artículo 9.- Redes de telecomunicaciones.

Se entiende por redes de telecomunicaciones a los sistemas y demás recursos que permiten la transmisión, emisión y recepción de voz, vídeo, datos o cualquier tipo de señales, mediante medios físicos o inalámbricos, con independencia del contenido o información cursada.

El establecimiento o despliegue de una red comprende la construcción, instalación e integración de los elementos activos y pasivos y todas las actividades hasta que la misma se vuelva operativa.

En el despliegue de redes e infraestructura de telecomunicaciones, incluyendo audio y vídeo por suscripción y similares, los prestadores de servicios de telecomunicaciones darán estricto cumplimiento a las normas técnicas y políticas nacionales, que se emitan para el efecto.

En el caso de redes físicas el despliegue y tendido se hará a través de ductos subterráneos y cámaras de acuerdo con la política de ordenamiento y soterramiento de redes que emita el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información.

El gobierno central o los gobiernos autónomos descentralizados podrán ejecutar las obras necesarias para que las redes e infraestructura de telecomunicaciones sean desplegadas de forma ordenada y soterrada, para lo cual el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información establecerá la política y normativa técnica nacional para la fijación de tasas o contraprestaciones a ser pagadas por los prestadores de servicios por el uso de dicha infraestructura.

Para el caso de redes inalámbricas se deberán cumplir las políticas y normas de precaución o prevención, así como las de mimetización y reducción de contaminación visual.

Los gobiernos autónomos descentralizados, en su normativa local observarán y darán cumplimiento a las normas técnicas que emita la Agencia de Regulación y Control de las Telecomunicaciones así como a las políticas que emita el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información, favoreciendo el despliegue de las redes.

De acuerdo con su utilización las redes de telecomunicaciones se clasifican en:

a) Redes Públicas de Telecomunicaciones

b) Redes Privadas de Telecomunicaciones

Artículo 10.- Redes públicas de telecomunicaciones.

Toda red de la que dependa la prestación de un servicio público de telecomunicaciones; o sea utilizada para soportar servicios a terceros será considerada una red pública y será accesible a los prestadores de servicios de telecomunicaciones que la requieran, en los términos y condiciones que se establecen en esta Ley, su reglamento general de aplicación y normativa que emita la Agencia de Regulación y Control de las Telecomunicaciones.

Las redes públicas de telecomunicaciones tenderán a un diseño de red abierta, esto es sin protocolos ni especificaciones de tipo propietario, de tal forma que se permita la interconexión, acceso y conexión y cumplan con los planes técnicos fundamentales. Las redes públicas podrán soportar la prestación de varios servicios, siempre que cuenten con el título habilitante respectivo.

Artículo 11.- Establecimiento y explotación de redes públicas de telecomunicaciones.

El establecimiento o instalación y explotación de redes públicas de telecomunicaciones requiere de la obtención del correspondiente título habilitante otorgado por la Agencia de Regulación y Control de las Telecomunicaciones.

Los operadores de redes públicas de telecomunicaciones deberán cumplir con los planes técnicos fundamentales, normas técnicas y reglamentos específicos relacionados con la implementación de la red y su operación, a fin de garantizar su interoperabilidad con las otras redes públicas de telecomunicaciones.

La Agencia de Regulación y Control de las Telecomunicaciones regulará el establecimiento y explotación de redes públicas de telecomunicaciones.

Es facultad del Estado Central, a través del Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información y de la Agencia de Regulación y Control de las Telecomunicaciones, en el ámbito de sus respectivas competencias, el establecer las políticas, requisitos, normas y condiciones para el despliegue de infraestructura alámbrica e inalámbrica de telecomunicaciones a nivel nacional. En función de esta potestad del gobierno central en lo relativo a despliegue de infraestructura de telecomunicaciones, los gobiernos autónomos descentralizados deberán dar obligatorio cumplimiento a las políticas, requisitos, plazos, normas y condiciones para el despliegue de infraestructura alámbrica e inalámbrica de telecomunicaciones a nivel nacional, que se emitan.

Respecto del pago de tasas y contraprestaciones que por este concepto corresponda fijar a los gobiernos autónomos descentralizados cantonales o distritales, en ejercicio de su potestad de regulación de uso y gestión del suelo y del espacio aéreo se sujetarán de manera obligatoria a la política y normativa técnica que emita para el efecto el Ministerio rector de las telecomunicaciones y de la Sociedad de la Información.

Artículo 12.- Convergencia.

El Estado impulsará el establecimiento y explotación de redes y la prestación de servicios de telecomunicaciones que promuevan la convergencia de servicios, de conformidad con el interés público y lo dispuesto en la presente Ley y sus reglamentos. La Agencia de Regulación y Control de las Telecomunicaciones emitirá reglamentos y normas que permitan la prestación de diversos servicios sobre una misma red e impulsen de manera efectiva la convergencia de servicios y favorezcan el desarrollo tecnológico del país, bajo el principio de neutralidad tecnológica.

Artículo 13.- Redes privadas de telecomunicaciones.

Las redes privadas son aquellas utilizadas por personas naturales o jurídicas en su exclusivo beneficio, con el propósito de conectar distintas instalaciones de su propiedad o bajo su control. Su operación requiere de un registro realizado ante la Agencia de Regulación y Control de las Telecomunicaciones y en caso de requerir de uso de frecuencias del espectro radioeléctrico, del título habilitante respectivo.

Las redes privadas están destinadas a satisfacer las necesidades propias de su titular, lo que excluye la prestación de estos servicios a terceros. La conexión de redes privadas se sujetará a la normativa que se emita para tal fin.

La Agencia de Regulación y Control de las Telecomunicaciones regulará el establecimiento y uso de redes privadas de telecomunicaciones.

CAPÍTULO II.- Prestación de servicios de telecomunicaciones

Artículo 14.- Formas de Gestión.

Con sujeción a lo dispuesto en la Constitución de la República, los servicios públicos de telecomunicaciones son provistos en forma directa por el Estado, a través de empresas públicas de telecomunicaciones o indirecta a través de delegación a empresas de economía mixta en las cuales el Estado tenga la mayoría accionaria o a la iniciativa privada y a la economía popular y solidaria.

Artículo 15.- Delegación.

La Agencia de Regulación y Control de las Telecomunicaciones, para otorgar títulos habilitantes por delegación, considerará lo siguiente:

a) Para las empresas de economía mixta en las cuales el Estado tenga la mayoría accionaria, el otorgamiento de títulos habilitantes para el uso o explotación del espectro radioeléctrico o para la prestación de servicios públicos de telecomunicaciones, se sujetará al interés nacional y respetará los plazos y límites fijados en esta Ley y en las regulaciones que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.

b) Para el caso de empresas públicas de propiedad Estatal de los países que forman parte de la comunidad internacional, la delegación para el uso o explotación del espectro radioeléctrico o para la prestación de servicios públicos de telecomunicaciones, podrá hacerse en forma directa. En todos los casos, la delegación se sujetará al interés nacional y respetará los plazos y límites fijados en esta Ley y en las regulaciones que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.

c) Para la iniciativa privada y a la economía popular y solidaria, se otorgarán títulos habilitantes para la provisión de servicios públicos de telecomunicaciones y para el uso del espectro radioeléctrico asociado a dicha provisión, en los siguientes casos:

  1. Cuando sea necesario y adecuado para satisfacer el interés público, colectivo o general;
  1. Cuando la demanda del servicio no pueda ser cubierta por empresas públicas o mixtas en las que el Estado tenga mayoría accionaria;
  1. Cuando el Estado no tenga la capacidad técnica o económica;
  1. Cuando los servicios de telecomunicaciones se estén prestando en régimen de competencia por empresas públicas y privadas de telecomunicaciones;
  1. Cuando sea necesario para promover la competencia en un determinado mercado; y,
  1. Para garantizar el derecho de los usuarios a disponer de servicios públicos de telecomunicaciones de óptima calidad a precios y tarifas equitativas.

No se requiere la concurrencia de causas para la delegación.

El otorgamiento de títulos habilitantes y su renovación para servicios de radiodifusión, estará sujeto a lo dispuesto en la Ley Orgánica de Comunicación.

Artículo 16.- Telecomunicaciones Reservadas a la Seguridad Nacional.

Para la realización de actividades de telecomunicaciones necesarias para la seguridad y defensa del Estado, se reservará frecuencias del espectro radioeléctrico en función del Plan Nacional de Frecuencias, cuya competencia corresponde a la Agencia de Regulación y Control de las Telecomunicaciones; el uso, gestión y administración de dichas frecuencias corresponderá a los órganos y entes competentes en materia de Seguridad y Defensa. No obstante, en tales casos, la Agencia de Regulación y Control de las Telecomunicaciones ejercerá las potestades de regulación y control establecidas en la presente Ley.

Artículo 17.- Comunicaciones internas.

No se requerirá la obtención de un título habilitante para el establecimiento y uso de redes o instalaciones destinadas a facilitar la intercomunicación interna en inmuebles o urbanizaciones, públicas o privadas, residenciales o comerciales, siempre que:

  1. No se presten servicios de telecomunicaciones a terceros;
  2. No se afecten otras redes de telecomunicaciones, públicas o privadas;
  3. No se afecte la prestación de servicios de telecomunicaciones; o,
  4. No se use y explote el espectro radioeléctrico.

No obstante, dicha instalación y uso por parte de personas naturales o jurídicas se sujetarán a la presente Ley y normativa que resulte aplicable y, en caso de la comisión de infracciones, se impondrán las sanciones a que haya lugar.

Artículo 18.- Uso y Explotación del Espectro Radioeléctrico.

El espectro radioeléctrico constituye un bien del dominio público y un recurso limitado del Estado, inalienable, imprescriptible e inembargable. Su uso y explotación requiere el otorgamiento previo de un título habilitante emitido por la Agencia de Regulación y Control de las Telecomunicaciones, de conformidad con lo establecido en la presente Ley, su Reglamento General y regulaciones que emita la Agencia de Regulación y Control de las Telecomunicaciones.

Las bandas de frecuencias para la asignación a estaciones de radiodifusión sonora y televisión públicas, privadas y comunitarias, observará lo dispuesto en la Ley Orgánica de Comunicación y su Reglamento General.

Artículo 19.- Domiciliación.

Se podrán otorgar títulos habilitantes para la prestación de servicios de telecomunicaciones, uso o explotación del espectro radioeléctrico y establecimiento y operación de redes de telecomunicaciones a personas naturales residentes o jurídicas domiciliadas en el Ecuador que cumplan con los requisitos técnicos, económicos y legales señalados en esta Ley, su reglamento general de aplicación y en el Reglamento para Otorgar Títulos Habilitantes que emita la Agencia de Regulación y Control de las Telecomunicaciones.

Los títulos habilitantes para el uso de frecuencias del espectro radioeléctrico para servicios de radiodifusión y sistemas de audio y vídeo por suscripción se otorgarán conforme a las disposiciones de la Ley Orgánica de Comunicación, su Reglamento General y reglamentos emitidos por la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 20.- Obligaciones y Limitaciones.

La Agencia de Regulación y Control de las Telecomunicaciones, determinará las obligaciones específicas para garantizar la calidad y expansión de los servicios de telecomunicaciones así como su prestación en condiciones preferenciales para garantizar el acceso igualitario o establecer las limitaciones requeridas para la satisfacción del interés público, todo lo cual será de obligatorio cumplimiento.

Las empresas públicas que presten servicios de telecomunicaciones y las personas naturales o jurídicas delegatarias para prestar tales servicios, deberán cumplir las obligaciones establecidas en esta Ley, su reglamento general y las normas emitidas por la Agencia de Regulación y Control de las Telecomunicaciones para garantizar la calidad, continuidad, eficacia, precios y tarifas equitativas y eficiencia de los servicios públicos.

TÍTULO III.- DERECHOS Y OBLIGACIONES

CAPÍTULO I.- Abonados, clientes y usuarios

Artículo 21.- Definición y tipo de usuarios.

Usuario es toda persona natural o jurídica consumidora de servicios de telecomunicaciones. El usuario que haya suscrito un contrato de adhesión con el prestador de servicios de Telecomunicaciones, se denomina abonado o suscriptor y el usuario que haya negociado las cláusulas con el Prestador se denomina Cliente.

En la negociación de las cláusulas con los clientes no se afectará ninguno de los derechos de los usuarios en general, ni se podrán incluir términos en menoscabo de las condiciones económicas de los usuarios en general.

Artículo 22.- Derechos de los abonados, clientes y usuarios.

Los abonados, clientes y usuarios de servicios de telecomunicaciones tendrán derecho:

  1. A disponer y recibir los servicios de telecomunicaciones contratados de forma continua, regular, eficiente, con calidad y eficacia.
  1. A escoger con libertad al prestador del servicio, el plan de servicio, así como a la modalidad de contratación y el equipo terminal en el que recibirá los servicios contratados.
  1. Al secreto e inviolabilidad del contenido de sus comunicaciones, con las excepciones previstas en la Ley.
  1. A la privacidad y protección de sus datos personales, por parte del prestador con el que contrate servicios, con sujeción al ordenamiento jurídico vigente.
  1. A obtener información precisa, gratuita y no engañosa sobre las características de los servicios y sus tarifas. La información también se proveerá en el idioma de relación intercultural predominante del abonado, cliente o usuario, de conformidad con las regulaciones que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.
  1. A disponer gratuitamente de servicios de llamadas de emergencia, información de planes, tarifas y precios, saldos y otros servicios informativos que establezca la Agencia de Regulación y Control de las Telecomunicaciones.
  1. A obtener, en unidad de segundos, la medición del servicio contratado, cuando se trate de servicios de telefonía en todas sus modalidades.
  1. A la facturación y tasación correcta, oportuna, clara y precisa, de acuerdo con las normas aplicables; no es admisible ninguna modalidad de redondeo. La entrega de facturas o estados de cuenta podrá realizarse a domicilio o por vía electrónica, a elección del abonado, cliente o suscriptor.

La entrega de facturas o estados de cuenta a través de internet, correo electrónico o cualquier otro medio digital o electrónico no tendrá costo y procederá únicamente previa aceptación expresa y escrita del abonado, cliente o suscriptor, en la cual, el mismo manifieste su aprobación para reemplazar la entrega física de su factura.

  1. A pagar tarifas de acuerdo con las regulaciones correspondientes y los planes contratados, de ser el caso.
  1. A que su prestador le informe oportunamente sobre la interrupción, suspensión o averías de los servicios contratados y sus causas.
  1. A obtener de su prestador la compensación por los servicios contratados y no recibidos, por deficiencias en los mismos o el reintegro de valores indebidamente cobrados.
  1. A que en la contratación de servicios se respeten los derechos constitucionales, legales y reglamentarios de los abonados, clientes y usuarios, de acuerdo con las condiciones generales o de ser el caso, modelos que apruebe y publique la Agencia de Regulación y Control de las Telecomunicaciones.
  1. A la atención y resolución oportuna de las solicitudes y reclamos relacionados con la prestación de los servicios contratados de conformidad con las regulaciones aplicables.
  1. A exigir a los prestadores de los servicios contratados, el cumplimiento de los parámetros de calidad aplicables.
  1. A la portabilidad del número y a conservar su número en el caso de Servicios de Telecomunicaciones que usen recurso numérico, de conformidad con lo establecido en esta Ley y en las regulaciones aplicables.
  1. A recibir anualmente, de forma gratuita y en medio electrónico, una guía de abonados actualizada del servicio de telefonía fija, electrónica, emitida por el prestador del servicio contratado. Todos los abonados tendrán derecho a figurar en dichas guías y a un servicio de información nacional gratuito sobre su contenido. Asimismo, los abonados tendrán derecho a que se excluyan gratuitamente sus datos personales, de dichas guías.
  1. A que se le proporcione adecuada y oportuna protección por parte de los órganos competentes, contra los incumplimientos legales, contractuales o reglamentarios cometidos por los prestadores de servicios de telecomunicaciones o por cualquier otra persona que vulnere los derechos establecidos en esta Ley y la normativa que resulte aplicable.
  1. A acceder a cualquier aplicación o servicio permitido disponible en la red de internet. Los prestadores no podrán limitar, bloquear, interferir, discriminar, entorpecer ni restringir el derecho de sus usuarios o abonados a utilizar, enviar, recibir u ofrecer cualquier contenido, aplicación, desarrollo o servicio legal a través de internet o en general de sus redes u otras tecnologías de la información y las comunicaciones, ni podrán limitar el derecho de un usuario o abonado a incorporar o utilizar cualquier clase de instrumentos, dispositivos o aparatos en la red, siempre que sean legales. Se exceptúan aquellos casos en los que el cliente, abonado o usuario solicite de manera previa su decisión expresa de limitación o bloqueo de contenidos, aplicaciones, desarrollos o servicios disponibles, o por disposición de autoridad competente. Los prestadores pueden implementar las acciones técnicas que consideren necesarias para la adecuada administración de la red en el exclusivo ámbito de las actividades que le fueron habilitadas, para efectos de garantizar el servicio.
  1. A que se mantengan las condiciones de prestación de los servicios contratados; los cambios unilaterales en los contratos de prestación de servicios, se considerarán como nulos y no tendrán ningún valor.
  1. A terminar unilateralmente el contrato de adhesión suscrito con el prestador del servicio en cualquier tiempo, previa notificación, con por lo menos quince (15) días de anticipación, conforme lo dispuesto en la Ley Orgánica de Defensa del Consumidor y sin que para ello esté obligado a cancelar multas o recargos de valores de ninguna naturaleza, salvo saldos pendientes por servicios o bienes solicitados y recibidos.
  1. A denunciar ante las autoridades competentes los incumplimientos o violaciones de sus derechos por parte de los prestadores.
  1. A la acumulación y la utilización de saldos en la prestación de Servicios de Telecomunicaciones, independientemente de las modalidades de contratación, de conformidad con las regulaciones que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.
  1. A contar con información sobre peligros a la salud que se puedan generar como consecuencia de la instalación y operación de redes.
  1. A no recibir mensajes masivos o individuales o llamadas con fines de venta directa, comercial, publicitaria o proselitista, que no hayan sido previa y expresamente autorizados por el cliente, abonado o usuario.

En aplicación de los principios de progresividad y de no regresividad, se podrán establecer nuevos derechos a favor de los usuarios y abonados o regular la aplicación de los establecidos en esta Ley, sin menoscabarlos o disminuirlos.

Los derechos de los abonados y usuarios señalados no excluyen otros que se establezcan en el ordenamiento jurídico vigente.

Estos derechos son extensivos a los abonados, clientes y usuarios de los sistemas de audio y vídeo por suscripción, en lo que fueren aplicables.

Artículo 23.- Obligaciones de los abonados, clientes y usuarios.

Los abonados, clientes y usuarios de los servicios de telecomunicaciones, están obligados a lo siguiente:

  1. Cumplir con los términos del contrato de prestación de servicios celebrado con el prestador, independientemente de su modalidad.
  1. Adoptar las medidas sugeridas por el prestador de servicios a fin de salvaguardar la integridad de la red y las comunicaciones, sin perjuicio de las responsabilidades de los prestadores.
  1. Pagar por los servicios contratados conforme el contrato de prestación de servicios y a lo dispuesto en el ordenamiento jurídico vigente.
  1. Cumplir con las obligaciones de empadronamiento o registro de identidad, tales como proporcionar sus datos personales de identificación asociados a la línea o número telefónico, de conformidad con las regulaciones que se dicten al respecto.
  1. No realizar alteraciones a los equipos que puedan causar interferencias o daños a las redes y servicios de telecomunicaciones en general.
  1. No utilizar los servicios contratados para realizar fraude o perjuicios a su prestador o a terceros.
  1. Hacer uso debido de los servicios de emergencia, respetando los derechos de los demás y el orden público.
  2. No realizar llamadas o enviar mensajes con fines de venta directa, comercial, publicitaria o proselitista, que no hayan sido previamente aceptados por el destinatario.
  1. Los demás que consten en el ordenamiento jurídico vigente o que sean establecidos por la Agencia de Regulación y Control de las Telecomunicaciones.

Las obligaciones establecidas en el presente artículo son extensivas a los abonados, clientes y usuarios de audio y vídeo por suscripción, en lo que sean aplicables.

CAPÍTULO II .- Prestadores de Servicios de Telecomunicaciones

Artículo 24.- Obligaciones de los prestadores de servicios de telecomunicaciones.

Son deberes de los prestadores de servicios de telecomunicaciones, con independencia del título habilitante del cual se derive tal carácter, los siguientes:

  1. Garantizar el acceso igualitario y no discriminatorio a cualquier persona que requiera sus servicios.
  1. Prestar el servicio de forma obligatoria, general, uniforme, eficiente, continua, regular, accesible y responsable, cumpliendo las regulaciones que dicte la Agencia de Regulación y Control de las Telecomunicaciones y lo establecido en los títulos habilitantes.
  1. Cumplir y respetar esta Ley, sus reglamentos, los planes técnicos, normas técnicas y demás actos generales o particulares emitidos por la Agencia de Regulación y Control de las Telecomunicaciones y el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información así como lo dispuesto en los títulos habilitantes.
  1. Respetar los derechos de los usuarios establecidos en esta Ley y en el ordenamiento jurídico vigente.
  1. Cumplir con las regulaciones tarifarias.
  1. Proporcionar en forma clara, precisa, cierta, completa y oportuna toda la información requerida por la Agencia de Regulación y Control de las Telecomunicaciones o el Ministerio de Telecomunicaciones y de la Sociedad de la Información, en el ámbito de sus competencias, en los formatos, plazos y condiciones establecidos por dichas autoridades.
  1. Prestar las facilidades requeridas para el ejercicio de la labor de control.
  1. Garantizar a sus abonados, clientes y usuarios la conservación de su número de conformidad con los lineamientos, términos, condiciones y plazos que a tal efecto establezca la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Cumplir con las obligaciones de acceso universal y servicio universal determinados en los correspondientes títulos habilitantes.
  1. Pagar en los plazos establecidos sus obligaciones económicas tales como los valores de concesión, autorización, tarifas, tasas, contribuciones u otras que correspondan.
  1. Implementar el acceso, en forma gratuita, a los servicios de emergencia, determinados por la Agencia de Regulación y Control de las Telecomunicaciones y en forma adicional para el caso de los servicios tales como el servicio móvil avanzado, cumplir con la entrega de información relacionada con la localización geográfica aproximada de una llamada.
  1. Cumplir con las obligaciones de interconexión, acceso y ocupación de conformidad con esta Ley, su Reglamento General y las normas técnicas y disposiciones respectivas.
  1. Garantizar el secreto e inviolabilidad de las comunicaciones cursadas a través de las redes y servicios de telecomunicaciones, sin perjuicio de las excepciones establecidas en las leyes.
  1. Adoptar las medidas necesarias para la protección de los datos personales de sus usuarios y abonados, de conformidad con esta Ley, su Reglamento General y las normas técnicas y regulaciones respectivas.
  1. Adoptar las medidas para garantizar la seguridad de las redes.
  1. Observar y cumplir las políticas y normas en materia de soterramiento, ordenamiento, mimetización de antenas y en general en los aspectos relacionados con el despliegue de redes e infraestructura de telecomunicaciones así como a pagar las tasas que se generen por el uso de ductos, cámaras u otra infraestructura para soterramiento, ordenamiento de redes e infraestructura o mimetización. La instalación de antenas para uso de los abonados/clientes/usuarios en la prestación del servicio, deberá realizarse en zonas que causen el menor impacto visual y no podrán ser visibles en fachadas frontales de los edificios o viviendas. En caso de la inobservancia a esta obligación, la Agencia de Regulación y Control de las Telecomunicaciones dispondrá a los prestadores de servicio, reubicar a su costo dicha infraestructura en el plazo que esta determine, sin perjuicio de la aplicación de la sanción que corresponda.
  1. No limitar, bloquear, interferir, discriminar, entorpecer, priorizar ni restringir el derecho de sus usuarios o abonados a utilizar, enviar, recibir u ofrecer cualquier contenido, aplicación, desarrollo o servicio legal a través de Internet o en general de sus redes u otras tecnologías de la información y las comunicaciones, ni podrán limitar el derecho de un usuario o abonado a incorporar o utilizar cualquier clase de instrumentos, dispositivos o aparatos en la red, siempre que sean legales, salvo las excepciones establecidas en la normativa vigente. Se exceptúan aquellos casos en los que el cliente, abonado o usuario solicite de manera previa su decisión expresa de limitación o bloqueo de contenidos, o por disposición de autoridad competente. Los prestadores pueden implementar las acciones técnicas que consideren necesarias para la adecuada administración de la red en el exclusivo ámbito de las actividades que le fueron habilitadas para efectos de garantizar el servicio.
  1. Medir, tasar y facturar correctamente el consumo de los servicios de telecomunicaciones prestados de conformidad con esta Ley, su Reglamento General y las normas técnicas y regulaciones respectivas.
  1. Garantizar la atención y resolución oportuna de los reclamos formulados por sus abonados o usuarios, conforme los plazos que consten en la normativa o títulos habilitantes.
  1. Informar a la Agencia de Regulación y Control de las Telecomunicaciones sobre modificaciones esenciales a las condiciones de las redes, a las condiciones de interconexión, acceso u ocupación y a la prestación de los servicios de conformidad con la normativa aplicable.
  1. Proporcionar a la Agencia de Regulación y Control de las Telecomunicaciones cuando así lo requiera, la información referente a la contabilidad regulatoria administrativa por servicios, conforme a la normativa que se establezca para el efecto. Se prohíbe realizar subsidios cruzados, salvo la excepción prevista en esta Ley para el caso del servicio universal.
  1. Implementar sistemas de recolección, reutilización y manejo de desechos tecnológicos incluidas infraestructuras en desuso, de conformidad con las normas y regulaciones correspondientes.
  1. Cumplir con las normas sobre emisión de radiaciones no ionizantes y reglas de seguridad relacionadas con el uso del espectro radioeléctrico.
  1. Contar con planes de contingencia, para ejecutarlos en casos de desastres naturales o conmoción interna para garantizar la continuidad del servicio de acuerdo con las regulaciones respectivas. Asimismo, cumplirá con los servicios requeridos en casos de emergencia, tales como llamadas gratuitas, provisión de servicios auxiliares para Seguridad pública y del Estado y cualquier otro servicio que determine la autoridad competente de conformidad con la Ley.
  1. Conservar la información relacionada con la prestación de servicios de telecomunicaciones, en las condiciones y por el tiempo que se disponga en las regulaciones respectivas.
  1. Implementar planes especiales para personas con discapacidad en cumplimiento de lo dispuesto en la Ley Orgánica de Discapacidades.
  1. Proporcionar información precisa, gratuita y no engañosa sobre las características de los servicios y sus tarifas. La información también se proveerá en el idioma de relación intercultural predominante del abonado, cliente o usuario, de conformidad con las regulaciones que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Las demás obligaciones establecidas en esta Ley, su Reglamento General, normas técnicas y demás actos generales o particulares emitidos por la Agencia de Regulación y Control de las Telecomunicaciones y en los títulos habilitantes.

Las obligaciones establecidas en el presente artículo son extensivas a los prestadores de audio y vídeo por suscripción, en lo que sean aplicables.

Artículo 25.- Derechos de los prestadores de servicios de telecomunicaciones.

Son derechos de los prestadores de servicios de telecomunicaciones, con independencia del título habilitante del cual se derive tal carácter, los siguientes:

  1. Recibir el pago oportuno por parte de los abonados, clientes y usuarios por la prestación de los servicios, de conformidad con el contrato respectivo.
  1. Suspender el servicio provisto por falta de pago de los abonados o clientes o uso ilegal del servicio calificado por autoridad competente, previa notificación al abonado o cliente.
  1. Recibir de la Agencia de Regulación y Control de las Telecomunicaciones atención oportuna y motivada ante sus peticiones.
  1. A mantener las frecuencias que les hayan sido asignadas, libres de interferencias.
  1. Acceder a la información pública con las limitaciones establecidas en la ley.
  1. Gestionar la venta y distribución de sus servicios en forma directa o a través de terceros, mediante modalidades tales como reventa, acuerdos de distribución y cualquier otra. En ningún caso, el prestador dejará de ser responsable del cumplimiento de sus obligaciones y estará sujeto a las regulaciones aplicables.

TÍTULO IV.- REGULACIÓN SECTORIAL EX ANTE PARA EL FOMENTO, PROMOCIÓN Y PRESERVACIÓN DE LAS CONDICIONES DE COMPETENCIA

CAPÍTULO I.- Tipos de Regulación

Artículo 26.- Regulación sectorial.

La Agencia de Regulación y Control de las Telecomunicaciones, dentro del ámbito de sus competencias, observará los lineamientos para la regulación y principios aplicables conforme al ordenamiento jurídico vigente, a fin de coadyuvar a través de la regulación sectorial de telecomunicaciones que para el efecto emita y sus acciones, en el fomento, promoción y preservación de las condiciones de competencia en los mercados correspondientes que para el caso determine.

Artículo 27.- Ámbitos de regulación.

La regulación sectorial de telecomunicaciones para el fomento, promoción y preservación de las condiciones de competencia, al menos será en los ámbitos: técnico, económico y de acceso a insumos de infraestructura.

Artículo 28.- Regulación económica.

Consistente en adoptar medidas para establecer tarifas o precios regulados, evitar distorsiones en los mercados regulados, evitar el reforzamiento del poder de mercado o garantizar el acceso de los usuarios a los servicios públicos.

Artículo 29.- Regulación técnica.

Consistente en establecer y supervisar las normas para garantizar la compatibilidad, la calidad del servicio y solucionar las cuestiones relacionadas con la seguridad y el medio ambiente.

Artículo 30.- Regulación del acceso.

Consistente en asegurar el acceso no discriminatorio a los insumos necesarios, en especial a infraestructuras que se califiquen como facilidades esenciales.

CAPÍTULO II .-Regulación de mercados

Artículo 31.- Determinación de mercados relevantes.

La Agencia de Regulación y Control de las Telecomunicaciones, con sujeción al Reglamento de Mercados que para el efecto apruebe, determinará al menos cada dos años los mercados relevantes relativos a servicios o redes de telecomunicaciones, tanto mayoristas como minoristas y el ámbito geográfico, con el propósito de establecer si dichos mercados se están desarrollando en un entorno de competencia efectiva, cuyas características pueden dar lugar a la imposición a los prestadores con poder de mercado de obligaciones específicas de manera proporcionada y justificada.

Las obligaciones se mantendrán, se modularán o modificarán mientras subsista la inexistencia de competencia efectiva o el poder de mercado, caso contrario se suprimirán.

Artículo 32.- Imposición de obligaciones.

En el Reglamento de Mercados, constarán las condiciones para la imposición, modulación, modificación o supresión de obligaciones a los prestadores con poder de mercado o preponderantes.

Sin perjuicio de que la Agencia de Regulación y Control de las Telecomunicaciones, establezca otro tipo de obligaciones en el Reglamento de Mercados, se podrán imponer a los operadores con poder de mercado o preponderantes y de ser el caso, a sus empresas vinculadas según corresponda, entre otras, las siguientes obligaciones:

  1. Proporcionar información relativa a contabilidad, especificaciones técnicas, características de las redes, condiciones de suministro y utilización, incluidas, en su caso, las condiciones que pudieran limitar el acceso o la utilización de servicios o aplicaciones, así como los precios.
  1. Proporcionar en forma oportuna y completa la información que le requiera la Agencia de Regulación y Control de las Telecomunicaciones, conforme con los formatos y periodicidad que para el efecto determine.
  1. Llevar contabilidad de costos o regulatoria, en caso de que preste varios servicios, en el formato y con la metodología que, en su caso, determine la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Fijación de precios y tarifas que permitan promover y fomentar la competencia efectiva y los beneficios para los usuarios en términos de precios y calidad de los servicios así también para favorecer la inversión por parte del prestador de servicios, de modo especial, en redes de nueva generación. Se incluye el mecanismo tarifario para servicios dentro de la misma red o fuera de la red (on-net u off-net).
  1. Fijar cargos de interconexión que promuevan la erradicación de prácticas anticompetitivas.
  1. Limitaciones de comercialización de servicios y uso de equipos terminales.
  1. Prohibición de suscribir contratos de arrendamiento para instalación de infraestructura.
  1. Fijación de cargos de interconexión simétricos.
  1. Fijación de cargos de interconexión asimétricos.
  1. Regulación de tarifas simétrica.
  1. Regulación de tarifas asimétrica.
  1. Obligaciones de compartición de infraestructura.
  1. Regulación sobre uso de marcas o nombres comerciales.

Artículo 33.- Operador con poder de mercado y preponderante.

Se considerará como operador con poder de mercado, al prestador de servicios de telecomunicaciones y servicios por suscripción cuando tenga la capacidad para influir significativamente en el mercado. Dicha capacidad la puede alcanzar de manera individual o conjuntamente con otros, cuando por cualquier medio sean capaces de actuar de modo independiente con prescindencia de sus competidores, compradores, clientes, proveedores, usuarios, distribuidores u otros sujetos que participen en el mercado, cuando en forma efectiva, controle, directa o indirectamente los precios en un mercado o en un segmento de mercado o en una circunscripción geográfica determinados; o, la conexión o interconexión a su red.

En el Reglamento de Mercados que apruebe la Agencia de Regulación y Control de las Telecomunicaciones constarán los criterios para determinar si un prestador de servicios tiene poder de mercado en un determinado mercado relevante y en otro u otros mercados de relevancia estrechamente vinculados, de manera que haga posible que el poder que se tiene en un mercado produzca repercusiones en el otro, reforzando de esta manera el poder de mercado.

Se considerará que existe preponderancia cuando el prestador de servicios de telecomunicaciones y servicios por suscripción, tenga más del 50% de abonados, clientes, suscriptores, líneas activas, tráfico u otros, en un determinado mercado o servicio, en cuyo caso, la Agencia de Regulación y Control de las Telecomunicaciones podrá establecer de manera directa mediante resolución, las obligaciones que se justifiquen, conforme a lo previsto en el artículo precedente.

Artículo 34.- Pago por concentración de mercado para promover competencia.

A fin de evitar las distorsiones en el mercado de servicios de telecomunicaciones y servicios por suscripción y promover la competencia, los prestadores privados que concentren mercado en función del número de abonados o clientes del servicio concesionado, autorizado o registrado, pagarán al Estado un porcentaje de sus ingresos totales anuales conforme a la siguiente tabla:

DESDE          HASTA          PAGO

30%                34.99%           0,5%

35%                44.99%           1%

45%               54.99%           3%

55%                64.99%           5%

65%                74.99%           7%

75%               En adelante     9%

La recaudación de estos valores será trimestral y la realizará la Agencia de Regulación y Control de las Telecomunicaciones, de conformidad con la regulación que para el efecto emita.

Esta obligación es independiente de cualquier otra obligación prevista en la presente Ley.

TÍTULO V.- TÍTULOS HABILITANTES

CAPÍTULO I.- Títulos habilitantes para la prestación de servicios de telecomunicaciones

Artículo 35.- Servicios de Telecomunicaciones.

Todos los servicios en telecomunicaciones son públicos por mandato constitucional.

Los prestadores de estos servicios están habilitados para la instalación de redes e infraestructura necesaria en la que se soportará la prestación de servicios a sus usuarios. Las redes se operarán bajo el principio de regularidad, convergencia y neutralidad tecnológica.

Artículo 36.- Tipos de Servicios.

Se definen como tales a los servicios de telecomunicaciones y de radiodifusión.

  1. Servicios de telecomunicaciones: Son aquellos servicios que se soportan sobre redes de telecomunicaciones con el fin de permitir y facilitar la transmisión y recepción de signos, señales, textos, vídeo, imágenes, sonidos o información de cualquier naturaleza, para satisfacer las necesidades de telecomunicaciones de los abonados, clientes, usuarios.

Dentro de los servicios de telecomunicaciones en forma ejemplificativa y no limitativa, se citan a la telefonía fija y móvil, portadores y de valor agregado.

Los prestadores de servicios de telefonía fija o móvil podrán prestar otros servicios tales como portadores y de valor agregado que puedan soportarse en su red y plataformas, de conformidad con la regulación que se emita para el efecto.

  1. Servicios de radiodifusión: Son aquellos que pueden transmitir, emitir y recibir señales de imagen, sonido, multimedia y datos, a través de estaciones del tipo público, privado o comunitario, con base a lo establecido en la Ley Orgánica de Comunicación.

Los servicios de radiodifusión se clasifican en servicios de señal abierta y por suscripción.

2.1. Servicios de señal abierta, son los siguientes:

a) Radiodifusión sonora: Comprende toda transmisión de señales de audio y datos, que se destinan a ser recibidas por el público en general, de manera libre y gratuita; y,

b) Radiodifusión de televisión: Comprende toda transmisión de señales audiovisuales y datos, que se destinan para ser recibidas por el público en general, de manera libre y gratuita.

2.2. Servicios por suscripción: Son aquellos servicios de radiodifusión que solo pueden ser recibidos por usuarios que previamente hayan suscrito un contrato de adhesión.

La Agencia de Regulación y Control de las Telecomunicaciones podrá adoptar nuevas definiciones para otros servicios, en función a los avances tecnológicos; así también, la Agencia regulará los términos y condiciones de la prestación de los servicios antes definidos.

Artículo 37.- Títulos Habilitantes.

La Agencia de Regulación y Control de las Telecomunicaciones podrá otorgar los siguientes títulos habilitantes:

  1. Concesión: Para servicios tales como telefonía fija y servicio móvil avanzado así como para el uso y explotación del espectro radioeléctrico, por empresas de economía mixta, por la iniciativa privada y la economía popular y solidaria.
  2. Autorizaciones: Para el uso y explotación del espectro radioeléctrico, por las empresas públicas e instituciones del Estado. Para la prestación de servicios de audio y vídeo por suscripción, para personas naturales y jurídicas de derecho privado, la autorización se instrumentará a través de un permiso.
  3. Registro de servicios: Los servicios para cuya prestación se requiere el Registro, son entre otros los siguientes: servicios portadores, operadores de cable submarino, radioaficionados, valor agregado, de radiocomunicación, redes y actividades de uso privado y reventa.

La Agencia de Regulación y Control de las Telecomunicaciones, determinará los valores por el pago de derechos de concesión y registro así como los valores por el pago de autorizaciones, cuando se trate de títulos habilitantes emitidos a favor de empresas públicas o instituciones del Estado, no relacionados con la prestación de servicios de telecomunicaciones. De ser necesario determinará además, el tipo de habilitación para otros servicios, no definidos en esta Ley.

Los servicios cuyo título habilitante es el registro, en caso de requerir de frecuencias, deberán solicitar y obtener previamente la concesión o autorización, según corresponda.

Para el otorgamiento y renovación de los títulos habilitantes de radiodifusión y sistemas de audio y vídeo por suscripción, se estará a los requisitos y procedimientos previstos en la Ley Orgánica de Comunicación, su Reglamento General y la normativa que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 38.- Habilitación General.

Es el instrumento emitido a través de resolución por la Agencia de Regulación y Control de las Telecomunicaciones, una vez que se han cumplido los requisitos establecidos en el ordenamiento jurídico vigente, en el que se establecerán los términos, condiciones y plazos aprobados, además incorporará, de ser el caso, el uso y explotación de las respectivas bandas de frecuencias esenciales del espectro radioeléctrico, necesarias para la prestación del servicio.

La habilitación general se otorgará para la prestación de servicios de telecomunicaciones tales como la telefonía fija y el servicio móvil avanzado y se instrumentará a través de concesiones o autorizaciones, según corresponda.

Los prestadores de servicios que cuenten con una habilitación general podrán prestar también otros servicios, tales como servicios portadores y de valor agregado, de manera ejemplificativa y no limitativa, para cuya prestación se requiere únicamente registro de servicios. Los servicios adicionales que se autoricen se incorporarán a través de anexos a la Habilitación General.

La Agencia de Regulación y Control de las Telecomunicaciones, a través de su Directorio, se reserva las potestades de interpretación, aclaración y terminación anticipada de los títulos habilitantes, para lo cual deberá motivar sus actuaciones.

Artículo 39.- Condiciones Generales de las empresas públicas para la prestación de servicios.

Se otorgan mediante autorización e instrumento de adhesión, a favor de las empresas públicas constituidas para la prestación de servicios de telecomunicaciones que cumplan con los requisitos establecidos por la Agencia de Regulación y Control de las Telecomunicaciones. Dicha autorización será suscrita por el Director Ejecutivo y aceptada por el representante legal de la empresa pública de que se trate. El título habilitante será inscrito en el Registro Público de Telecomunicaciones.

Las empresas públicas, a fin de garantizar el interés general y el cumplimiento de los principios del servicio público consagrado en la Constitución de la República, se someterán a esta Ley, su Reglamento General y a las regulaciones y acciones de control de la Agencia de Regulación y Control de las Telecomunicaciones, tal como lo determina la Constitución de la República. Sin perjuicio de lo cual las empresas públicas gozarán de las exenciones, excepciones, exoneraciones y prerrogativas establecidas en las leyes.

Las empresas públicas y entidades públicas para la prestación de servicios de telecomunicaciones, estarán obligadas al pago de derechos, tarifas, contribuciones y demás obligaciones, establecidas en la presente Ley, excepto por lo siguiente:

  1. Por otorgamiento o renovación de títulos habilitantes.
  1. Por el otorgamiento o renovación de autorización de frecuencias para su uso y explotación.

No obstante de las exoneraciones indicadas, las empresas públicas de telecomunicaciones deberán cumplir con la política pública que emita el ente rector de las telecomunicaciones y con las obligaciones de carácter social, de servicio universal o de ejecución de políticas públicas que disponga la Agencia de Regulación y Control de las Telecomunicaciones para devengar la asignación de espectro radioeléctrico realizada por el Estado. Estas obligaciones son independientes de las relacionadas con la contribución al Fondo de Desarrollo de las Telecomunicaciones.

Artículo 40.- Criterios de Otorgamiento y Renovación.

Para el otorgamiento y renovación de los títulos habilitantes para la prestación de servicios a empresas mixtas, organizaciones de economía popular y solidaria y empresas privadas, la Agencia de Regulación y Control de las Telecomunicaciones considerará la necesidad de atender: al desarrollo tecnológico, a la evolución de los mercados, al Plan Nacional de Telecomunicaciones, a las necesidades para el desarrollo sostenido del sector y del Estado y el acceso universal a las tecnologías de información y comunicación, así como a la satisfacción efectiva del interés público o general. Podrá negar el otorgamiento o renovación de tales títulos considerando la normativa, disposiciones o políticas que se emitan para tal fin, antes del trámite de solicitud de otorgamiento del título habilitante o su renovación.

Dada la naturaleza del otorgamiento de títulos habilitantes para la prestación de servicios de telecomunicaciones y uso del espectro radioeléctrico, así como su renovación, no se aplica la institución del silencio administrativo positivo.

Antes de la emisión de la decisión de renovación se evaluará el cumplimiento de los términos y condiciones del título habilitante que está por fenecer, para lo cual la Agencia de Regulación y Control de las Telecomunicaciones, emitirá el informe respectivo.

La renovación de los títulos habilitantes será por un período igual al originalmente otorgado y podrá realizarse en un régimen jurídico actualizado de acuerdo con la evolución tecnológica del servicio y situación del mercado.

En el caso de solicitudes para el otorgamiento de nuevos títulos habilitantes deberá evaluarse si alguna empresa o grupo de empresas vinculadas con el solicitante del título presta el mismo servicio o servicios semejantes y los efectos que pudiera tener en el mercado el otorgamiento del nuevo título habilitante requerido; para este efecto, deberá presentarse una declaración juramentada sobre vinculación.

Artículo 41.- Registro de Servicios.

El registro se otorgará mediante acto administrativo debidamente motivado, emitido por el Director Ejecutivo de conformidad con el procedimiento y los requisitos que se establezcan en la normativa que apruebe la Agencia de Regulación y Control de las Telecomunicaciones para el otorgamiento de títulos habilitantes. En dicho registro se hará constar adicionalmente una declaración del prestador de sujeción al ordenamiento jurídico vigente y a la normativa correspondiente.

En todo caso, la tramitación de los procedimientos de registro deberá realizarse dentro de un término de veinte días hábiles, contados a partir de la presentación de la solicitud, con todos los requisitos que al efecto correspondan.

Artículo 42.- Registro Público de Telecomunicaciones.

El Registro Público de Telecomunicaciones estará a cargo de la Agencia de Regulación y Control de las Telecomunicaciones, la que establecerá las normas para el procedimiento de registro, requisitos y cancelaciones.

En el Registro Público de Telecomunicaciones deberán inscribirse:

a) Las habilitaciones generales y las notificaciones de registro de prestación de servicios.

b) Las condiciones generales de las empresas públicas, las notificaciones de prestación de servicios y las autorizaciones emitidas a favor de las instituciones u organismos del Estado.

c) Las concesiones de uso y explotación del espectro.

d) Los actos administrativos otorgados como título habilitante de Registro de Servicios.

e) Los acuerdos y disposiciones de interconexión y conexión.

f) Los topes tarifarios de los servicios.

g) Los acuerdos y disposiciones de compartición de infraestructura.

h) Los acuerdos y disposiciones de operación virtual.

i) Los contratos de reventa de servicios.

j) Los modelos de contrato de adhesión de servicios.

k) El uso de espectro para investigación de nuevas tecnologías por parte del Estado.

l) Las redes universales de acceso a internet.

m) Todos los demás actos, autorizaciones, permisos y contratos que determine la Agencia de Regulación y Control de las Telecomunicaciones.

Además se inscribirán las modificaciones de los actos y contratos antes descritos, así como las modificaciones sustanciales de las redes e infraestructura de telecomunicaciones que hayan sido notificadas a la Agencia de Regulación y Control de las Telecomunicaciones, de conformidad con lo que establezca la normativa.

La Agencia de Regulación y Control de las Telecomunicaciones garantizará el acceso de los órganos y entes del Estado, así como de los ciudadanos, al Registro Público al que se refiere este artículo.

Los asuntos relacionados con la prestación de servicios de radiodifusión, televisión y sistemas de audio y vídeo por suscripción, deberán ser inscritos en el Registro Nacional de Títulos Habilitantes, de conformidad con lo dispuesto en la Ley Orgánica de Comunicación, su Reglamento General y la normativa que emita la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 43.- Duración.

Las concesiones y autorizaciones para la prestación de Servicios de Telecomunicaciones tendrán una duración de hasta quince años.

La duración de los demás títulos habilitantes será establecida en la normativa que emita la Agencia de Regulación y Control de las Telecomunicaciones. En todo caso el plazo de duración no podrá exceder los quince años, salvo para los operadores de cable submarino y empresas públicas de telecomunicaciones.

Artículo 44.- Transferencia o Cesión.

Los títulos habilitantes no podrán enajenarse, cederse, transferirse, arrendarse o gravarse por ningún medio sin autorización de la Agencia de Regulación y Control de las Telecomunicaciones. Incurrir en esta prohibición, será causa suficiente para la terminación anticipada del título habilitante, sin perjuicio de las consecuencias previstas en el ordenamiento jurídico vigente.

Artículo 45.- Contenido de los Títulos Habilitantes.

El Reglamento para Otorgar Títulos Habilitantes que emita la Agencia de Regulación y Control de las Telecomunicaciones, establecerá el contenido mínimo de los diferentes títulos habilitantes, los requisitos y procedimientos para su otorgamiento, renovación y registro.

Artículo 46.- Extinción de los Títulos Habilitantes.

Los títulos habilitantes para la prestación de servicios de telecomunicaciones, con independencia de su clase o duración, se extinguirán por:

  1. Expiración del tiempo de su duración y que no se haya solicitado y resuelto la renovación, para lo cual se deberá tomar las medidas que garanticen la continuidad del servicio.
  1. Por incumplimiento en la instalación y operación dentro del plazo establecido, de conformidad con lo previsto en la normativa del servicio y título habilitante.
  1. Mutuo acuerdo entre las partes, siempre que no se afecte el interés general, la continuidad del servicio ni a terceros. Se entenderá por mutuo acuerdo la renuncia del titular de la habilitación, que haya sido aprobada por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Muerte de su titular, en caso de personas naturales.
  1. Declaración anticipada y unilateral debidamente motivada, realizada por la Agencia de Regulación y Control de las Telecomunicaciones, en los siguientes casos:

a) Cuando se declare la disolución, quiebra o liquidación, en caso de las personas jurídicas.

b) Por pérdida de la capacidad civil de su titular, en caso de personas naturales.

c) Por hechos o actos que impidan la continuidad del título habilitante.

  1. Por revocatoria del título declarada por la Agencia de Regulación y Control de las Telecomunicaciones, de conformidad con lo establecido en esta Ley.
  1. En caso de devolución voluntaria y total del espectro concesionado o autorizado, aceptada por la Agencia de Regulación y Control de las Telecomunicaciones, siempre y cuando se constate que no se efectúa la devolución con el propósito de evadir responsabilidades.
  1. Cualquier otra causal establecida en esta Ley, en el ordenamiento jurídico vigente y en los títulos habilitantes respectivos.

En los casos de fusión, la empresa resultante se subrogará en los derechos y obligaciones contenidos en los títulos habilitantes, previa autorización de la Agencia de Regulación y Control de las Telecomunicaciones. De igual manera se procederá en los casos en los que una empresa habilitada se transforme en empresa pública.

A los fines de la extinción o revocatoria de un título habilitante, la Agencia de Regulación y Control de las Telecomunicaciones deberá emitir un acto administrativo motivado que la declare, previa sustanciación del procedimiento administrativo correspondiente en el cual se garantice el debido proceso y el derecho a la defensa del titular.

En todos los casos de extinción del título habilitante, la Agencia de Regulación y Control de las Telecomunicaciones, deberá adoptar las medidas administrativas necesarias para garantizar la continuidad del servicio y los derechos de los usuarios, incluida la reversión de los bienes afectos a la prestación del servicio; la valoración de dichos bienes será realizada por una firma independiente de prestigio y experiencia en el sector de las Telecomunicaciones designada por la Agencia de Regulación y Control de las Telecomunicaciones. En caso de extinción por revocatoria, el pago se realizará conforme lo establecido en esta Ley.

Cuando la Agencia de Regulación y Control de las Telecomunicaciones determine que no procede la reversión de los bienes, el prestador de servicios deberá a su costo retirar la infraestructura que haya instalado cumpliendo los mecanismos, condiciones y plazos que establezca la Agencia.

Artículo 47.- Extinción de los títulos habilitantes de servicios de radiodifusión.

Los títulos habilitantes otorgados a prestadores de servicios de radiodifusión y sistemas de audio y vídeo por suscripción terminan, además de las causales establecidas en la Ley Orgánica de Comunicación, por los siguientes incumplimientos:

  1. Por incumplimiento en la instalación dentro del plazo, establecido para el efecto.
  1. Por incurrir en mora en el pago de sus obligaciones, por tres meses o más pensiones consecutivas.
  2. Los demás establecidos en el ordenamiento jurídico y títulos habilitantes correspondientes.

El procedimiento administrativo seguido para la terminación unilateral y anticipada del título habilitante será el que emita para el efecto la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 48.- Derechos por el Otorgamiento de Títulos Habilitantes.

Las prestadoras de servicios de telecomunicaciones que actúen por delegación estatal deberán pagar al Estado los derechos por la obtención de títulos habilitantes que determine la Agencia de Regulación y Control de las Telecomunicaciones.

La Agencia de Regulación y Control de las Telecomunicaciones podrá reglamentar el pago de tarifas o derechos por trámites de otorgamiento de títulos habilitantes, renovación, modificaciones, registros u otras actividades.

Artículo 49.- Cambios de Control.

Sin perjuicio de cumplir con lo dispuesto en el ordenamiento jurídico vigente, el prestador de servicios de telecomunicaciones no podrá realizar operaciones que impliquen un cambio de control, sin la respectiva autorización del Director de la Agencia de Regulación y Control de las Telecomunicaciones, especialmente aquellas relacionadas con: cambios en la titularidad de las acciones de la empresa, cualesquier clase de contratos o convenios que incidan en el control operativo o real sobre la empresa o en la toma de decisiones sobre la misma, aunque no comporten un cambio en la titularidad de las acciones de la prestadora.

Previo a la realización de la operación que comporte un cambio de control, el prestador de servicios de telecomunicaciones deberá presentar ante la Agencia de Regulación y Control de las Telecomunicaciones la solicitud correspondiente de conformidad con los requisitos y condiciones que establezca la Agencia de Regulación y Control de las Telecomunicaciones. En la solicitud se realizará la descripción de la operación a realizar, su naturaleza, características, agentes económicos participantes en la operación y los efectos que pudieran generarse con ocasión de su realización. La Agencia de Regulación y Control de las Telecomunicaciones deberá tramitar la solicitud y emitir el informe correspondiente, tal como queda establecido en esta Ley.

Para el caso de servicios de radiodifusión y televisión y audio y vídeo por suscripción, se observará lo dispuesto en la Ley Orgánica de Comunicación y su normativa de aplicación.

CAPÍTULO II.- Uso y Explotación del Espectro Radioeléctrico

Artículo 50.- Otorgamiento.

Se otorgará títulos habilitantes para el uso y explotación de frecuencias del espectro radioeléctrico, conforme lo dispuesto en la presente Ley, sus reglamentos y los requisitos técnicos, económicos y legales exigidos a tales efectos.

A los fines del otorgamiento de títulos habilitantes de frecuencias del espectro radioeléctrico, el Estado atenderá al interés público, promoverá el uso racional y eficiente del referido recurso limitado, garantizará el acceso igualitario, equitativo y la asignación en condiciones de transparencia. Podrá negar el otorgamiento de títulos habilitantes de uso de espectro cuando prevalezca el interés público o general.

El Estado permitirá el acceso a bandas calificadas como de uso libre, de conformidad con lo dispuesto en la Constitución, esta Ley, su Reglamento General, el Plan Nacional de Frecuencias y las normas que emita la Agencia de Regulación y Control de las Telecomunicaciones.

La habilitación para el uso y explotación de frecuencias no esenciales para prestación de servicios de telecomunicaciones se instrumentará mediante marginación en el título habilitante inscrito en el Registro Público de Telecomunicaciones. Dicha marginación se realizará por disposición del Director de la Agencia de Regulación y Control de las Telecomunicaciones y consecuentemente será parte integrante del título habilitante.

El otorgamiento de títulos habilitantes de frecuencias del espectro radioeléctrico, observando el principio rector de eficiencia técnica, social y económica, podrá realizarse a través de adjudicación directa, proceso (concurso) público competitivo de ofertas, de conformidad con lo que establezca el Reglamento para Otorgar Títulos Habilitantes que emita la Agencia de Regulación y Control de las Telecomunicaciones.

Dicho otorgamiento considerará la idoneidad técnica, económica y legal del solicitante.

Para el caso del otorgamiento de frecuencias de los servicios de radiodifusión, se observará lo establecido en la Ley Orgánica de Comunicación.

Artículo 51.- Adjudicación Directa.

Se otorgarán títulos habilitantes para su uso o explotación, por adjudicación directa, siempre y cuando cumplan con los requisitos correspondientes, en los siguientes casos:

  1. Frecuencias no esenciales.
  1. Frecuencias esenciales que se requieran para la introducción de nuevas tecnologías o mejoras en el servicio, cuando el poseedor del título habilitante se encuentre prestando el servicio o para ser otorgadas a un nuevo prestador de servicios que no sean de carácter masivo.
  1. Frecuencias para empresas públicas y entidades públicas.
  1. Bandas de uso compartido.
  1. Reasignación de frecuencias.
  1. Registro de Servicios.
  1. Renovación de títulos habilitantes, en los casos que se establezcan en el Reglamento para Otorgar Títulos Habilitantes o resoluciones de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Redes Privadas.

La Agencia de Regulación de las Telecomunicaciones establecerá los parámetros y objetivos para la adjudicación directa, entre los cuales se considerará por lo menos, temas de: eficiencia técnica, social y económica, responsabilidad social, ofrecimientos de cobertura en zonas no servidas, ventajas para los usuarios y, en general, lo que beneficie al Buen Vivir.

Artículo 52.- Proceso Público Competitivo.

Se otorgarán concesiones para uso y explotación mediante proceso público competitivo de ofertas cuando:

  1. El número de solicitantes supere la cantidad de frecuencias disponibles para su otorgamiento.
  2. El número de concesiones de servicios o de uso y explotación de frecuencias del espectro radioeléctrico que se prevea otorgar sea limitado, por razones de interés público, de desarrollo tecnológico o de evolución de los mercados.
  3. Las frecuencias o bandas de frecuencias a ser otorgadas a un nuevo prestador de servicios posean una alta valoración económica, de conformidad con las evaluaciones que realice la Agencia de Regulación de las Telecomunicaciones; o,
  4. Las frecuencias o bandas de frecuencia se destinen a la prestación de servicios de carácter masivo por un nuevo prestador.

Artículo 53.- Frecuencias para uso privado.

La Agencia de Regulación y Control de las Telecomunicaciones reglamentará la asignación de frecuencias de uso privado.

Artículo 54.- Derechos y Tarifas por Uso de Espectro.

La Agencia de Regulación y Control de las Telecomunicaciones fijará el valor de los derechos por el otorgamiento de títulos habilitantes, así como de las tarifas por el uso y explotación del espectro radioeléctrico. Los derechos se pagarán al Estado por el otorgamiento de títulos habilitantes. Las tarifas por el uso y explotación del referido recurso limitado, se fijarán de conformidad con el reglamento que a tal efecto dicte la Agencia de Regulación y Control de las Telecomunicaciones.

La fijación de los parámetros y el establecimiento de modelos para la determinación de los referidos montos deberá atender al interés público; la valoración del espectro radioeléctrico; los ingresos estimados para los concesionarios; inversiones realizadas, o a realizar, por los concesionarios; índices de cobertura; estipulaciones contractuales; cumplimiento de obligaciones sociales o del

Servicio Universal; tipo de servicios y el carácter masivo que puedan tener éstos, así como la contribución del concesionario para el desarrollo de proyectos que promuevan la sociedad de la información y del conocimiento, entre otros.

Artículo 55.- Derecho Preferente de Empresas Públicas.

Las empresas públicas que presten servicios de telecomunicaciones tendrán derecho preferente para el uso y explotación del espectro radioeléctrico, de conformidad con la disponibilidad existente.

Artículo 56.- Duración.

Los títulos habilitantes para el uso y explotación del espectro radioeléctrico tendrán la misma duración del título habilitante del servicio o los servicios a los cuales se encuentren asociados y se encontrarán integrados en un solo instrumento. De no estar asociados a servicio alguno su duración será de cinco años.

En el evento de que los concesionarios para la explotación de servicios de telecomunicaciones soliciten y se les otorguen frecuencias esenciales adicionales, la Agencia de Regulación y Control de las Telecomunicaciones podrá disponer la readecuación de los términos, condiciones y plazos del título habilitante para la explotación del servicio, siempre y cuando se reúnan las siguientes condiciones:

  1. Que las frecuencias o bandas de frecuencias esenciales otorgadas posean una alta valoración económica.
  2. Que se trate de un servicio masivo.
  3. Que se justifique la necesidad de una ampliación del plazo del contrato de concesión para la explotación del servicio, a fin de que se cuente con el tiempo suficiente para la amortización de la inversión a ser realizada por el operador.

La Agencia de Regulación y Control de las Telecomunicaciones analizará cada petición particular, y podrá negar la ampliación de plazo, considerando, entre otros aspectos, el interés general, las condiciones de mercado y el nivel de cumplimiento de obligaciones por parte del concesionario.

El concesionario deberá pagar los derechos de concesión y pago por uso de frecuencias respectivos que conlleve la ampliación del plazo.

En caso de extinción del título habilitante del servicio por las causales establecidas, se entenderá extinguida igualmente la habilitación para el uso de espectro radioeléctrico asociada a dicho título.

Artículo 57.- Reasignación.

La Agencia de Regulación y Control de las Telecomunicaciones podrá reasignar frecuencias o bandas de frecuencias previamente asignadas, cuando:

  1. Sea requerido en ejecución de los planes técnicos correspondientes.
  2. Sea para conseguir la eficiencia técnica, social y económica en el uso de las frecuencias del espectro.
  3. Lo exija el interés público.
  4. Se derive de la aplicación de tratados o convenios internacionales válidamente suscritos.
  5. Sea por razones de seguridad y defensa nacional.
  6. Sea para la introducción de nuevas tecnologías y/o servicios.
  7. Sea para evitar y solucionar interferencias.
  8. Para hacer más equitativa la redistribución del espectro radioeléctrico entre los sectores público, comunitario y privado, conforme lo dispuesto en la Ley Orgánica de Comunicación.

Artículo 58.- Indemnización.

Por regla general, la reasignación del espectro radioeléctrico no genera indemnización, excepto cuando no exista espectro disponible para la prestación del servicio que impida la reasignación y, en consecuencia, sea imposible la continuidad en la prestación de los servicios por parte del operador de que se trate. La Agencia de Regulación y Control de las Telecomunicaciones establecerá los parámetros para determinar el valor de las indemnizaciones en este caso particular. En el caso de empresas y entidades públicas no aplica compensación o indemnización de ninguna clase.

Artículo 59.- Uso y Explotación del espectro radioeléctrico para servicios de radiodifusión.

El otorgamiento de las frecuencias del espectro radioeléctrico para servicios de radiodifusión, se sujetará a lo dispuesto en la Ley Orgánica de Comunicación, su Reglamento General y normativa emitida por la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 60.- Tarifas por Adjudicación y Uso de Frecuencias para Servicios de Radiodifusión

Los poseedores de títulos habilitantes para servicios de radiodifusión de tipo comunitario y privado están obligados al pago de las tarifas por adjudicación y utilización de frecuencias, aun cuando estuviere suspenso su funcionamiento. Se exceptúan de estos pagos los servicios de radiodifusión del tipo públicos.

Artículo 61.- Aprobación de Tarifas por Adjudicación y Uso de Frecuencias para Servicios de Radiodifusión.

Las tarifas por derechos de adjudicación que deberán pagar los prestadores de servicios de radiodifusión al Estado serán las que apruebe mediante resolución la Agencia de Regulación y Control de las Telecomunicaciones.

La Agencia de Regulación y Control de las Telecomunicaciones fijará las tarifas por adjudicación y uso de frecuencias para medios de comunicación social considerando para el efecto aspectos de carácter técnico, social o económico.

Para efecto del pago de las tarifas, los radio -enlaces estudio- transmisor, cuyas emisiones no son recibidas por el público se consideran como partes integrantes del canal principal, y, por consiguiente, no están sujetos a ningún recargo adicional. Las frecuencias auxiliares para enlaces adicionales deberán pagar los valores que para el efecto se establezcan.

Las modificaciones posteriores de las tarifas no obligan a la celebración de nuevo contrato.

TÍTULO VI.- RÉGIMEN TARIFARIO DE LA PRESTACIÓN DE SERVICIOS

CAPÍTULO ÚNICO.- Régimen y Regulación

Artículo 62.- Régimen tarifario.

Es deber constitucional del Estado central, a través de la Agencia de Regulación y Control de las Telecomunicaciones, disponer que los precios y tarifas por la prestación de servicios sean equitativos, en tal virtud en ejercicio de su potestad de control y regulación, podrá, en cualquier momento, establecer techos tarifarios o modificar los existentes.

Artículo 63.- Regulación tarifaria.

Los prestadores de servicios de telecomunicaciones podrán fijar libremente sus tarifas, siempre que no sobrepasen los techos tarifarios definidos por la Agencia de Regulación y Control de las Telecomunicaciones.

Para modificar los techos tarifarios que se encuentren en vigencia, se considerarán si existen o pueden existir distorsiones a la competencia en el mercado determinado, o que el nivel de tarifas o precios demuestre inexistencia de competencia efectiva, o cuando la calidad de los servicios no se ajuste a los niveles exigidos. Tal regulación, que puede incluir la modalidad de topes tarifarios u cualquier otra, podrá incluirse en los títulos habilitantes o ser aplicada en cualquier momento en que justificadamente se constate los supuestos antes mencionados.

La Agencia de Regulación y Control de las Telecomunicaciones podrá, justificadamente, regular las tarifas o imponer obligaciones especiales a los prestadores con poder de mercado, sobre la base de estudios e informes que demuestren tal poder.

Para favorecer el desarrollo del servicio universal, se podrán regular tarifas preferenciales para favorecer el desarrollo económico de regiones y grupos sociales de atención prioritaria.

Artículo 64.- Reglas aplicables.

Las tarifas y precios para todos los servicios de telecomunicaciones deberán tener en cuenta los siguientes preceptos generales:

  1. Los prestadores de los servicios podrán establecer planes tarifarios constituidos por uno o varios servicios o por uno o varios productos de un servicio, de conformidad con su o sus títulos habilitantes.
  2. La estructura tarifaria atenderá los principios de acceso universal y uso prioritario, de tal manera que se podrán incluir opciones tarifarias para usuarias o usuarios de menores ingresos.
  3. Las tarifas y precios deberán promover el uso y prestación eficiente de los servicios, tenderán a estimular la expansión eficiente de los servicios y a establecer la base para el establecimiento de un entorno competitivo.
  4. Ningún proveedor de servicios podrá discriminar a abonados o usuarios que se encuentren en circunstancias similares, en relación a tarifas o precios.
  5. En la tasación y facturación de los servicios, no se podrán redondear tiempos o unidades de tasación.
  6. Los prestadores de servicios publicarán en su página web sus planes, promociones, tarifas y precios en los formatos y condiciones que permitan a los abonados y usuarios disponer de información completa, comparable y oportuna. De igual manera, los prestadores de servicios deberán proporcionar la información de sus planes, promociones, tarifas y precios en los formatos y condiciones que se determine en las regulaciones correspondientes.
  7. Las tarifas y precios corresponderán a los servicios expresamente contratados y en ningún caso incorporarán valores de prestaciones, productos o servicios no solicitados por los usuarios.

Artículo 65.- Notificación y vigencia.

Las tarifas deberán ser notificadas a la Agencia de Regulación y Control de las Telecomunicaciones con al menos cuarenta y ocho horas de anticipación a la fecha de entrada en vigencia de las mismas. Esta notificación podrá realizarse a través de medios electrónicos y bajo formatos y mecanismos previamente establecidos por la Agencia de Regulación y Control de las Telecomunicaciones.

La notificación oportuna de las tarifas no implica aceptación o aprobación de las mismas, y quedan a salvo las acciones de supervisión y control que correspondan.

TÍTULO VII.- INTERCONEXIÓN Y ACCESO

CAPÍTULO I .-Disposiciones comunes

Artículo 66.- Principios.

La interconexión y el acceso deberán realizarse de conformidad con principios de igualdad, nodiscriminación, neutralidad, buena fe, transparencia, publicidad y sobre la base de costos.

Artículo 67.- Interconexión.

A los efectos de esta Ley, se entiende por interconexión a la conexión o unión de dos o más redes públicas de telecomunicaciones, a través de medios físicos o radioeléctricos, mediante equipos o instalaciones que proveen líneas o enlaces de telecomunicaciones para el intercambio, tránsito o terminación de tráfico entre dos prestadores de servicios de telecomunicaciones, que permiten comunicaciones entre usuarios de distintos prestadores de forma continua o discreta.

Artículo 68.- Acceso.

A los efectos de esta Ley, se entiende por acceso, a la puesta a disposición de otro prestador, en condiciones definidas, no discriminatorias y transparentes, de recursos de red o servicios con fines de prestación de servicios de telecomunicaciones, incluyendo cuando se utilicen para servicios de radiodifusión, sujetos a la normativa que emita la Agencia de Regulación y Control de las Telecomunicaciones, la misma que podría incluir entre otros los siguientes aspectos: el acceso a elementos y recursos de redes, así como a otros recursos y sistemas necesarios; las interfaces técnicas, protocolos u otras tecnologías que sean indispensables para la interoperabilidad de los servicios o redes.

Artículo 69.- Obligatoriedad.

Los prestadores de servicios de telecomunicaciones que operen o controlen redes públicas de telecomunicaciones tienen la obligación de interconectarse con otras redes públicas de telecomunicaciones y permitir el acceso a otros prestadores de servicios de telecomunicaciones, de conformidad con lo dispuesto en esta Ley, su Reglamento General y las regulaciones correspondientes. A tal efecto, deberán poseer diseños de arquitectura de red abierta que permitan la interconexión y la interoperabilidad de sus redes y el acceso a las mismas.

CAPÍTULO II .-Procedimiento

Artículo 70.- Facultad de intervención.

La Agencia de Regulación y Control de las Telecomunicaciones, en cualquier momento, podrá intervenir en las relaciones de interconexión y acceso, ya sea que estas se hayan establecido por acuerdo o disposición, a petición de cualquiera de las partes involucradas, o de oficio cuando esté justificado, con el objeto de fomentar y, en su caso, garantizar la interconexión y el acceso, la interoperabilidad de los servicios, la competencia o la consecución de los objetivos establecidos en esta Ley. La decisión adoptada será ejecutiva y vinculante, sin perjuicio de derecho a peticiones o impugnaciones administrativas y judiciales.

Las obligaciones y condiciones que se impongan de conformidad con este artículo serán objetivas, transparentes, proporcionales y no discriminatorias.

En caso de intervención, la Agencia de Regulación y Control de las Telecomunicaciones deberá considerar la viabilidad técnica y económica de utilizar o instalar

recursos que compitan entre sí, tomando en cuenta la naturaleza y el tipo de interconexión o acceso de que se trate y el desarrollo del mercado, la posibilidad de proporcionar el acceso propuesto, en relación con la capacidad disponible debidamente justificada, la inversión inicial del propietario del recurso, teniendo presentes los riesgos incurridos al efectuarla, la necesidad de salvaguardar la competencia a largo plazo; y, cuando proceda, los derechos pertinentes en materia de propiedad intelectual.

Artículo 71.- Regulación económica de la interconexión y el acceso.

La Agencia de Regulación y Control de las Telecomunicaciones está facultada para imponer, entre otras, obligaciones en materia de separación de cuentas en relación con la interconexión o el acceso.

De igual manera está facultada para imponer condiciones económicas, incluyendo cargos de interconexión o precios mayoristas en relación con la interconexión o acceso. La Agencia podrá establecer un valor cero (0) como cargo de interconexión, en aplicación del artículo 32 de esta Ley.

Los cargos y precios mayoristas que se acuerden o impongan para la interconexión y el acceso deberán servir para fomentar la eficiencia y la competencia sostenible y potenciar al máximo los beneficios para los usuarios. La carga de la prueba respecto de los costos de la interconexión o el acceso, corresponde al prestador que los aplique o que los alegue.

La Agencia de Regulación y Control de las Telecomunicaciones podrá utilizar métodos o modelos de cálculo de costos distintos de los utilizados por la empresa o tomar en cuenta los costos de otros mercados comparables y podrá exigir a un prestador que justifique plenamente los cargos o precios que aplica y, cuando proceda, ordenarle que los modifique.

Artículo 72.- Negociación y acuerdo.

Cualquier prestador de servicios de telecomunicaciones podrá solicitar a otro la interconexión o el acceso según el caso. Las y los interesados podrán negociar libremente las condiciones de interconexión o acceso, dentro de lo establecido en esta Ley, su Reglamento General y las regulaciones respectivas.

No obstante, podrán requerir la intervención de la Agencia de Regulación y Control de las Telecomunicaciones con carácter de observador en la negociación.

La solicitud de interconexión o acceso deberá realizarse de forma escrita, con indicación de los aspectos técnicos, económicos y jurídicos requeridos. El interesado deberá remitir copia de la solicitud a la Agencia de Regulación y Control de las Telecomunicaciones. El acuerdo deberá suscribirse dentro de los sesenta (60) días hábiles siguientes a la fecha de la solicitud de interconexión o acceso.

Artículo 73.- Disposiciones de interconexión o acceso.

Cumplido el plazo señalado en el artículo anterior sin que se haya suscrito el acuerdo respectivo, la Agencia de Regulación y Control de las Telecomunicaciones intervendrá, de oficio o a instancia de parte, a fin ordenar la interconexión o el acceso solicitado y establecer sus condiciones técnicas, económicas y jurídicas. La decisión de la Agencia Regulación y Control de las Telecomunicaciones deberá expedirse en un plazo de cuarenta y cinco (45) días hábiles contados desde la solicitud de uno o ambos interesados, cuando intervenga a instancia de parte o desde que notifique el inicio del procedimiento de emisión de la disposición de interconexión o acceso cuando actúe de oficio.

Sin perjuicio de lo señalado en el párrafo anterior, cuando lo solicite un prestador y en aras de garantizar la prestación de los servicios de telecomunicaciones, la Agencia de Regulación y Control de las Telecomunicaciones, antes de expedir la disposición de interconexión o acceso, podrá ordenar la interconexión o el acceso en forma inmediata, mientras se tramita la disposición respectiva.

Artículo 74.- Aprobación y modificación.

Los acuerdos de interconexión o acceso deberán presentarse, luego de su suscripción, ante la Agencia de Regulación y Control de las Telecomunicaciones para su aprobación y posterior inscripción en el Registro Público de Telecomunicaciones como requisito para su entrada en vigor. La Agencia de Regulación y Control de las Telecomunicaciones aprobará el acuerdo dentro de veinte (20) días hábiles y, en caso de no emitir un pronunciamiento, se entenderá aprobado en todo lo que no resulte contrario al ordenamiento jurídico vigente. Las disposiciones de interconexión o acceso y sus modificaciones también deberán inscribirse en el Registro Público de Telecomunicaciones.

Artículo 75.- Prohibición.

En ningún caso podrá procederse a la desconexión, interrupción, suspensión, bloqueo, degradación de calidad, retiro de equipos o cierre de la interconexión o el acceso, de forma unilateral o de mutuo acuerdo, incluso cuando existan controversias pendientes de resolución entre las partes involucradas, autoridades administrativas o judiciales, sin haber obtenido previamente autorización de la Agencia de Regulación y Control de las Telecomunicaciones y, siempre que se establezcan las medidas necesarias para proteger los derechos de los abonados o usuarios y la continuidad de los servicios.

TÍTULO VIII.- SECRETO DE LAS COMUNICACIONES Y PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I.- Secreto de las comunicaciones

Artículo 76.- Medidas técnicas de seguridad e invulnerabilidad.

Las y los prestadores de servicios ya sea que usen red propia o la de un tercero, deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad

de sus servicios y la invulnerabilidad de la red y garantizar el secreto de las comunicaciones y de la información transmitida por sus redes. Dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente.

En caso de que exista un riesgo particular de violación de la seguridad de la red, el prestador de servicios de telecomunicaciones deberá informar a sus abonados, clientes o usuarios sobre dicho riesgo y, si las medidas para atenuar o eliminar ese riesgo no están bajo su control, sobre las posibles soluciones.

Artículo 77.- Interceptaciones.

Únicamente se podrán realizar interceptaciones cuando exista orden expresa de la o el Juez competente, en el marco de una investigación de un delito o por razones de seguridad pública y del Estado, de conformidad con lo que establece la ley y siguiendo el debido proceso.

En caso de interceptación legal, las y los prestadores de servicios deberán proveer toda la información requerida en la orden de interceptación, incluso los datos de carácter personal de los involucrados en la comunicación, así como la información técnica necesaria y los procedimientos para la descomprensión, descifrado o decodificación en caso de que las comunicaciones objeto de la interceptación legal hayan estado sujetas a tales medidas de seguridad. Los contenidos de las comunicaciones y los datos personales que se obtengan como resultado de una orden de interceptación legal estarán sujetos a los protocolos y reglas de confidencialidad que establezca el ordenamiento jurídico vigente.

CAPÍTULO II Protección de los datos personales

Artículo 78.- Seguridad de los Datos Personales

Las y los prestadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas, organizativas y de cualquier otra índole adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos personales de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.

 (Sustituido el artículo 78 de acuerdo con la Disposición Reformatoria Cuarta 2.a) de la Ley Orgánica de Protección de Datos Personales).

Artículo 79.- Deber de información.

En caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servicio de telecomunicaciones, el prestador de servicios de telecomunicaciones informará a sus abonados, clientes y usuarios sobre dicho riesgo y sobre las medidas a adoptar.

En caso de violación de los datos de un abonado o usuario particular, el prestador notificará de tal violación al abonado o usuario particular en forma inmediata, describiendo al menos la naturaleza de la violación de los datos personales, los puntos de contacto donde puede obtenerse más información, las medidas recomendadas para atenuar los posibles efectos adversos de dicha violación y las medidas ya adoptadas frente a la violación de los datos personales.

La notificación de una violación de los datos personales a un abonado, cliente o usuario particular afectado no será necesaria si el prestador demuestra a la Agencia de Regulación y Control de las Telecomunicaciones que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados en la prestación de un servicio de telecomunicaciones.

(Suprimese el inciso segundo, tercer y cuarto del artículo 79 de acuerdo con la Disposición Reformatoria Cuarta 1.a) de la Ley Orgánica de Protección de Datos Personales)

Artículo 80.- Procedimientos de revelación.

Las y los prestadores de servicios implementarán procedimientos internos para atender las solicitudes de acceso a los datos personales de sus abonados, clientes o usuarios por parte de las autoridades legalmente autorizadas. Los procedimientos internos que se implementen, para fines de supervisión y control, estarán a disposición de la Agencia de Regulación y Control de las Telecomunicaciones.

(Derogado el artículo 80 por la Disposición Derogatoria Segunda de la Ley Orgánica de Protección de Datos Personales de 2021

Artículo 81.- Guías telefónicas o de abonados en general.

Los abonados, clientes o usuarios tienen el derecho a no figurar en guías telefónicas o de abonados.

Deberán ser informados, de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales, de sus derechos con respecto a la utilización de sus datos personales en las guías telefónicas o de abonados y, en particular, sobre el fin o los fines de dichas guías, así como sobre el derecho que tienen, en forma gratuita, a no ser incluidos, en tales guías.

 (Sustituido el artículo 81 de acuerdo con la Disposición Reformatoria Cuarta 2.b) de la Ley Orgánica de Protección de Datos Personales).

Artículo 82.- Uso comercial de datos personales.

Las y los prestadores de servicios no podrán usar datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos que el abonado o usuario al que se refieran los datos de tal información, haya dado su consentimiento conforme lo establecido en la Ley Orgánica de Protección de Datos Personales.

Los usuarios o abonados dispondrás de la posibilidad clara y fácil de retirar su consentimiento para el uso de sus datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales o información cuyo uso se autorizan, el tiempo y su objetivo específico.

Sin contar con tal consentimiento y con las mismas características, las y los prestadores de servicios de telecomunicaciones no podrán comercializar, ceder o transferir a terceros los datos personales de sus usuarios, clientes o abonados.

Igual requisito se aplicará para la información del uso del servicio, información de tráfico o del patrón de consumo de sus usuarios, clientes y abonados.

(Sustituido el artículo 82 de acuerdo con la Disposición Reformatoria Cuarta 2.c) de la Ley Orgánica de Protección de Datos Personales).

Artículo 83.- Control técnico.

Cuando para la realización de las tareas de control técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan vulnerar la seguridad e integridad de las redes, la Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo de afectar los contenidos de las comunicaciones.

(Suprimese en el primer inciso del artículo 83 lo siguiente «(…) y seguridad de datos personales (.)», y, de acuerdo con la Disposición Reformatoria Cuarta 1.b) de la Ley Orgánica de Protección de Datos de 2021)

Cuando como consecuencia de los controles técnicos efectuados, quede constancia de los contenidos, se deberá coordinar con la Autoridad de Protección de Datos Personales para que:

a) Los soportes en los que éstos aparezcan no sean ni almacenados ni divulgados; y,

b) Los soportes sean inmediatamente destruidos y desechados.

Si se evidencia un tratamiento ilegítimo o ilícito de datos personales, se aplicará lo dispuesto en la Ley Orgánica de Protección de Datos Personales. 

(Sustituido el artículo 83 de acuerdo con la Disposición Reformatoria Cuarta 2.d) de la Ley Orgánica de Protección de Datos Personales).

Artículo 84.- Entrega de información.

Las y los prestadores de servicios, entregarán a las autoridades competentes la información que les sea requerida dentro del debido proceso, con el fin de investigación de delitos. La Agencia de Regulación y Control de las Telecomunicaciones establecerá los mecanismos y procedimientos que sean necesarios.

(Derogado el artículo 84 por la Disposición Derogatoria Segunda de la Ley Orgánica de Protección de Datos Personales de 2021

Artículo 85.- Obligaciones adicionales.

La Agencia de Regulación y Control de las Telecomunicación establecerá y reglamentará los mecanismos para supervisar el cumplimiento de las obligaciones tanto de secreto de las comunicaciones como de seguridad de datos personales y, en su caso, dictará las instrucciones correspondientes, que serán vinculantes para las y los prestadores de servicios, con el fin de que adopten determinadas medidas relativas a la integridad y seguridad de las redes y servicios. Entre ellas, podrá imponer:

(Suprimese en el primer inciso del artículo 85 lo siguiente «(…) como de seguridad de datos personales (…)», de acuerdo con la Disposición Reformatoria Cuarta 1.c) de la Ley Orgánica de Protección de Datos de 2021)

  1. La obligación de facilitar la información necesaria para evaluar la seguridad y la integridad de sus servicios y redes, incluidos los documentos sobre las políticas de seguridad.
  1. La obligación de someterse a costo del prestador, a una auditoría de seguridad realizada por un organismo público, autoridad competente o, de ser el caso, por una empresa privada o persona natural independiente.

TÍTULO IX.- EQUIPOS DE TELECOMUNICACIONES

CAPÍTULO ÚNICO.- Homologación y Certificación

Artículo 86.- Obligatoriedad.

Los equipos terminales de telecomunicaciones que utilicen espectro radioeléctrico y se conecten a redes públicas de telecomunicaciones deberán contar con la homologación y certificación, realizadas de conformidad con las normas aplicables, a fin de prevenir daños a las redes, evitar la afectación de los servicios de telecomunicaciones, evitar la generación de interferencias perjudiciales y, garantizar los derechos de los usuarios y prestadores.

La Agencia de Regulación y Control de las Telecomunicaciones podrá establecer adicionalmente regulación vinculada con la homologación y certificación de otros equipos de telecomunicaciones.

Artículo 87.- Prohibiciones.

Queda expresamente prohibido:

  1. El uso y comercialización de equipos terminales que utilicen espectro radioeléctrico, que puedan impedir o interrumpir la prestación de los servicios, degradar su calidad, causar daños a usuarios o redes, generar interferencias perjudiciales o que de cualquier forma afecten la prestación de los servicios o los derechos de los usuarios.
  1. La comercialización de equipos terminales que utilicen espectro radioeléctrico y no hayan sido homologados y certificados.
  1. La comercialización de equipos terminales que utilicen espectro radioeléctrico y sean incompatibles con el Plan Nacional de Frecuencias.
  1. La comercialización de equipos terminales que hayan sido bloqueados y no puedan ser activados o utilizados por los usuarios en las distintas redes de las y los prestadores de servicios de telecomunicaciones.
  2. La utilización en las redes públicas de telecomunicaciones, de equipos terminales que utilicen espectro radioeléctrico, que no hayan sido previamente homologados y certificados.
  1. Las demás que sean establecidas por la Agencia de Regulación y Control de las Telecomunicaciones.

TÍTULO X.- SOCIEDAD DE LA INFORMACIÓN Y DEL CONOCIMIENTO Y SERVICIO UNIVERSAL

CAPÍTULO ÚNICO.- Promoción de la Sociedad de la Información y Prestación del Servicio Universal

Artículo 88.- Promoción de la Sociedad de la Información y del Conocimiento.

El Ministerio rector de las Telecomunicaciones promoverá la sociedad de la información y del conocimiento para el desarrollo integral del país. A tal efecto, dicho órgano deberá orientar su actuación a la formulación de políticas, planes, programas y proyectos destinados a:

  1. Garantizar el derecho a la comunicación y acceso a la Información.
  1. Promover el acceso universal a los servicios de telecomunicaciones; en especial, en zonas urbano marginales o rurales, a fin de asegurar una adecuada cobertura de los servicios en beneficio de las y los ciudadanos ecuatorianos.
  1. Promover el establecimiento eficiente de infraestructura de telecomunicaciones, especialmente en zonas urbano marginales y rurales.
  1. Procurar el Servicio Universal.
  1. Promover el desarrollo y masificación del uso de las tecnologías de información y comunicación en todo el territorio nacional.
  1. Apoyar la educación de la población en materia de informática y tecnologías de la información, a fin de facilitar el uso adecuado de los servicios o equipos.
  1. Promover el desarrollo y liderazgo tecnológico del Ecuador que permitan la prestación de nuevos servicios a precios y tarifas equitativas.

Artículo 89.- Servicio universal.

El Servicio Universal constituye la obligación de extender un conjunto definido de servicios de telecomunicaciones, a todos los habitantes del territorio nacional, con condiciones mínimas de accesibilidad, calidad y a precios equitativos, con independencia de las condiciones económicas, sociales o la ubicación geográfica de la población.

El Estado promoverá la prestación del Servicio Universal para la reducción de las desigualdades y la accesibilidad de la población a los servicios y a las tecnologías de la información y las comunicaciones, de conformidad con lo dispuesto en esta Ley, sus reglamentos y el Plan de Servicio Universal.

Artículo 90.- Plan de Servicio Universal.

En el Plan de Servicio Universal, que será elaborado y aprobado por el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información, se hará constar los servicios que conforman el servicio universal y las áreas geográficas para su prestación. Se dará atención prioritaria a las áreas geográficas de menos ingresos y con menor cobertura de servicios en el territorio nacional. El Plan de Servicio Universal deberá enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y armonizarse con este instrumento.

Artículo 91.- Ejecución de proyectos y programas de servicio universal.

Los proyectos y programas para la ejecución del Plan de Servicio Universal podrán ser ejecutados directamente por empresas públicas o contratados con empresas mixtas, privadas o de la economía popular y solidaria que cuenten con los respectivos títulos habilitantes, sobre la base de los parámetros de selección que determine el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información y con sujeción a la Ley Orgánica del Sistema Nacional de Contratación Pública.

Sin perjuicio de lo anterior, en los títulos habilitantes se establecerán obligaciones específicas de servicio universal a través de los planes de expansión u otras modalidades.

Artículo 92.- Contribución.

Las y los prestadores de servicios de telecomunicaciones, excepto los de radiodifusión, pagarán una contribución del 1% de los ingresos totales facturados y percibidos. Dicho aporte deberá ser realizado trimestralmente, dentro de los quince días siguientes a la terminación de cada trimestre de cada año calendario y la recaudación la realizará la Agencia de Regulación y Control de las Telecomunicaciones.

TÍTULO XI.- RECURSOS ESCASOS Y OCUPACIÓN DE BIENES

CAPÍTULO I.- Asignación del espectro radioeléctrico

Artículo 93.- Gestión.

El Estado, a través de la Agencia de Regulación y Control de las Telecomunicaciones, podrá asignar el espectro radioeléctrico en forma directa a empresas públicas o por delegación a empresas mixtas en las cuales tenga mayoría accionaria, al sector privado y a empresas de la economía popular y solidaria en los casos previstos en la presente Ley.

Artículo 94.- Objetivos.

La administración, regulación, gestión, planificación y control del espectro radioeléctrico perseguirá los siguientes objetivos:

  1. Uso eficiente.- Al ser un recurso natural escaso, el espectro radioeléctrico, tanto desde el punto de vista técnico, como económico, debe ser administrado y gestionado en forma eficiente.
  1. Uso racional.- Las decisiones sobre el uso deben ser planificadas, ordenadas, adecuadas en lo técnico y económico y encaminadas a la satisfacción del interés público o general y la consecución del Buen Vivir, Sumak Kawsay.
  1. Maximización económica.- En la valoración para permitir el uso del espectro radioeléctrico, se debe procurar su máximo rendimiento económico a favor del Estado, para alcanzar el bienestar social, pero considerando los estímulos necesarios para la inversión.
  1. Desarrollo tecnológico e inversión.- Se debe promover el desarrollo y la utilización de nuevos servicios, redes y tecnologías de la información y las comunicaciones y su acceso universal a toda la población y fomentar la inversión pública y privada.
  1. Comunicación.- Se debe garantizar una comunicación libre, intercultural, incluyente, diversa y participativa, así como la creación y fortalecimiento de medios de comunicación social públicos, privados y comunitarios y el acceso universal a las tecnologías de información y comunicación en especial para las personas y colectividades que carezcan de dicho acceso o lo tengan de forma limitada.
  1. Eliminación de interferencias.- Se debe garantizar el uso de las frecuencias sin interferencias perjudiciales, para lo cual se implementarán adecuados sistemas de monitoreo y control.
  1. Acceso equitativo y transparente.- El acceso al espectro radioeléctrico deberá realizarse en forma transparente y equitativa.
  1. Seguridad pública y del Estado.- El uso del espectro radioeléctrico deberá contribuir a la seguridad pública y del Estado.
  1. Flexibilización y convergencia.- La asignación del espectro radioeléctrico debe realizarse con procedimientos ágiles y flexibles y se debe promover y facilitar que las redes inalámbricas soporten varios servicios con diversas tecnologías.

La administración, regulación, gestión, planificación y control del espectro radioeléctrico deberá considerar los principios ambientales de prevención, precaución y desarrollo sostenible.

Artículo 95.- Planificación.

La Agencia de Regulación y Control de las Telecomunicaciones planificará el uso del espectro radioeléctrico tanto para los servicios de telecomunicaciones como para los servicios de radiodifusión, considerando lo establecido en la Constitución de la República y buscando el desarrollo y acceso universal a las tecnologías de la información y las comunicaciones.

Deberá considerar además, las decisiones y recomendaciones de las conferencias internacionales competentes en materia de radiocomunicación.

La Agencia de Regulación y Control de las Telecomunicaciones es competente para elaborar, aprobar, modificar y actualizar el Plan Nacional de Frecuencias, instrumento dinámico que contiene la atribución de las frecuencias del espectro radioeléctrico. Toda asignación de frecuencias del espectro radioeléctrico deberá realizarse con estricta sujeción a dicho plan.

Artículo 96.- Utilización.

El uso del espectro radioeléctrico, técnicamente distinguirá las siguientes aplicaciones:

  1. Espectro de uso libre: Son aquellas bandas de frecuencias que pueden ser utilizadas por el público en general, con sujeción a lo que establezca el ordenamiento jurídico vigente y sin necesidad de título habilitante, ni registro.
  1. Espectro para uso determinado en bandas libres: Son aquellas bandas de frecuencias denominadas libres que pueden ser utilizadas para los servicios atribuidos por la Agencia de Regulación y Control y tan sólo requieren de un registro.
  1. Espectro para usos determinados: Son aquellos establecidos por la Agencia de Regulación y Control; dentro de este grupo pueden existir asignaciones de uso privativo o compartido.
  1. Espectro para usos experimentales: Son aquellas bandas de frecuencias destinadas a la investigación científica o para pruebas temporales de equipo.
  1. Espectro reservado: Son aquellas bandas de frecuencias destinadas a la seguridad pública y del Estado.

CAPÍTULO II.- Recurso de Numeración

Artículo 97.- Administración y gestión del recurso.

La numeración constituye un recurso limitado cuya administración, control y asignación corresponde al Estado.

Las y los prestadores de servicios deberán cumplir con lo dispuesto en el Plan Técnico Fundamental de Numeración y las normas complementarias que se dicten para el efecto.

Artículo 98.- Asignación.

La asignación del recurso de numeración se realizará en condiciones de igualdad, transparencia, trato no discriminatorio y en atención al interés público.

La asignación no confiere derechos a las y los prestadores de servicios de telecomunicaciones y la Agencia de Regulación y Control de Telecomunicaciones podrá realizar las modificaciones o reasignaciones necesarias para el cumplimiento de los objetivos previstos en esta Ley. Se podrán establecer procedimientos de selección competitiva o comparativa para la asignación de números con valor económico excepcional.

Artículo 99.- Prohibición de cesión o transferencia.

Las y los prestadores de servicios no podrán transferir ni ceder los recursos de numeración que tengan asignados.

Artículo 100.- Conservación del número.

Las y los prestadores de servicios que usen números de identificación para sus abonados, tales como los servicios telefónicos, garantizarán que sus abonados puedan conservar los números que les hayan sido asignados con independencia del prestador que les provea el servicio, así como de los planes o modalidad de contratación de dicho servicio.

En todo caso, la ejecución de esta obligación no justificará afectaciones en la calidad del servicio y los costos iniciales y de mantenimiento que se generen con ocasión de su implementación deberán ser sufragados por las y los prestadores involucrados.

CAPÍTULO III.- Ocupación de bienes

Artículo 101.- Derecho de ocupación.

Las y los prestadores de servicios tendrán derecho, en los términos de esta Ley, su Reglamento General y las regulaciones que se dicten para el efecto, a la ocupación de la propiedad privada cuando resulte estrictamente necesario para la instalación de la red, de acuerdo con lo previsto en el proyecto técnico presentado y siempre que no existan otras alternativas económicamente viables. Dicha ocupación se hará mediante acuerdo, por declaración de utilidad pública y expropiación realizada por la Agencia de Regulación y Control de las Telecomunicaciones o mediante la declaración de servidumbre forzosa de paso u ocupación, para la instalación de infraestructura de redes de telecomunicaciones. Las y los prestadores de servicios deberán asumir los costos que implique el proceso de expropiación u ocupación de bienes.

También tendrán derecho a ocupar los bienes de dominio público, tanto de uso público como aquellos afectados al servicio público, cumpliendo para tal efecto con las regulaciones expedidas por las autoridades competentes en materia de uso del suelo y de ocupación y uso de la franja subyacente, dentro del derecho de vía, de las carreteras y tramos que conforman la red vial estatal.

La Agencia de Regulación y Control de las Telecomunicaciones podrá disponer la ocupación compartida, por parte de varios prestadores, de torres, instalaciones, inmuebles o cualquier otro elemento que sea susceptible de uso compartido, si fuese técnicamente viable y con ello se contribuye a disminuir o atenuar la contaminación visual generada por el despliegue aéreo de redes físicas.

Artículo 102.- Potestad expropiatoria.

La Agencia de Regulación y Control de las Telecomunicaciones podrá declarar la utilidad pública y proceder con la expropiación de los bienes de propiedad privada necesarios para la instalación de redes de telecomunicaciones o para el cumplimiento de sus funciones. Cuando la expropiación se realice para la instalación de redes de telecomunicaciones, se podrá dar en arriendo o transferir el bien al operador u operadores que lo requieran justificadamente.

Artículo 103.- Procedimiento.

A la declaratoria se adjuntará el informe técnicoeconómico correspondiente, el certificado vigente del registrador de la propiedad del cantón respectivo y la certificación de fondos acerca de la existencia y disponibilidad de los recursos necesarios para proceder con la expropiación. La expropiación se tramitará de conformidad con las reglas y el procedimiento previsto en la Ley aplicable.

Artículo 104.- Uso y Ocupación de Bienes de Dominio Público.

Los gobiernos autónomos descentralizados en todos los niveles deberán contemplar las necesidades de uso y ocupación de bienes de dominio público que establezca la Agencia de Regulación y Control de las Telecomunicaciones y, sin perjuicio de cumplir con las normas técnicas y políticas nacionales, deberán coordinar con dicha Agencia las acciones necesarias para garantizar el tendido e instalación de redes que soporten servicios de telecomunicaciones en un medio ambiente sano, libre de contaminación y protegiendo el patrimonio tanto natural como cultural.

En el caso de instalaciones en bienes privados, las tasas que cobren los gobiernos autónomos descentralizados no podrán ser otras que las directamente vinculadas con el costo justificado del trámite de otorgamiento de los permisos de instalación o construcción.

Los gobiernos autónomos descentralizados no podrán establecer tasas por el uso de espacio aéreo regional, provincial o municipal vinculadas a transmisiones de redes de radiocomunicación o frecuencias del espectro radioeléctrico.

Artículo 105.- Servidumbre de Paso u Ocupación.

Toda persona que posea o controle un bien o infraestructura física necesaria para la prestación de servicios deberá permitir su utilización por parte de las y los prestadores de servicios de telecomunicaciones que lo requieran, de forma igualitaria, transparente y no discriminatoria, siempre que tales bienes o infraestructuras sean necesarias por razones técnicas, económicas o legales.

Artículo 106.- Compartición de Infraestructura.

Las y los interesados podrán negociar y acordar las condiciones técnicas, económicas y legales para el uso de la infraestructura física, mediante la suscripción de un convenio de uso compartido de infraestructura física o de constitución de la servidumbre, de conformidad con las normas que resulten aplicables. El plazo para la negociación directa es de treinta (30) días contados a partir de la fecha de la petición realizada por el interesado.

Para su perfeccionamiento y entrada en vigencia, los convenios de uso compartido de infraestructura física o de constitución de la servidumbre deberán ser aprobados por la Agencia de Regulación y Control de las Telecomunicaciones e inscritos en el Registro Público de Telecomunicaciones.

No obstante, si no se ha llegado a un acuerdo en el plazo indicado en el párrafo anterior, el interesado podrá solicitar la intervención de la Agencia de Regulación y Control de las Telecomunicaciones, la cual podrá, mediante resolución expedida en un plazo máximo de treinta (30) días, imponer una servidumbre forzosa de paso, uso, o uso compartido del bien o la infraestructura física, determinando las condiciones técnicas, jurídicas y económicas.

CAPÍTULO IV.- Recursos orbitales y servicios satelitales

Artículo 107.- Gestión ante la Unión Internacional de Telecomunicaciones.

Corresponde al Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información gestionar la asignación de posiciones orbitales geoestacionarias o satelitales ante la Unión Internacional de Telecomunicaciones u otros organismos internacionales a favor de la República de Ecuador.

Artículo 108.- Regulación y control.

El uso del espectro radioeléctrico asociado a redes satelitales, así como la prestación de servicios realizada a través de tales redes serán administrados, regulados y controlados por el Estado.

Artículo 109.- Régimen de uso y de los servicios.

La provisión de capacidad satelital, la prestación de servicios de comunicaciones directas por satélites, así como la prestación de servicios de telecomunicaciones y uso del espectro radioeléctrico asociado a redes satelitales se regirán por lo dispuesto en esta Ley, sus reglamentos y las regulaciones respectivas.

La prestación de servicios realizada a través de redes satelitales y el uso del espectro radioeléctrico asociado a satélites requerirán la obtención de los títulos habilitantes de conformidad con lo dispuesto en esta Ley y normativa que emita la Agencia de Regulación y Control de las Telecomunicaciones.

TÍTULO XII.- SERVICIOS DE RADIODIFUSIÓN

CAPÍTULO ÚNICO.- Instalación de Infraestructura y Características Técnicas

Artículo 110.- Plazo para Instalar.

El plazo para la instalación y operación será de un año contado a partir de la fecha de suscripción del título habilitante respectivo; de no efectuarse la instalación, el título habilitante se revertirá al Estado, cumpliendo para el efecto el procedimiento de terminación establecido para el efecto.

Artículo 111.- Cumplimiento de Normativa.

Los equipos e infraestructura de las estaciones radiodifusoras de onda media, corta, frecuencia modulada, televisión abierta y sistemas de audio y video por suscripción deberán instalarse y operar de conformidad con lo dispuesto en la normativa que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 112.- Modificación del Título Habilitante.

Toda modificación respecto del título habilitante será autorizada por la Agencia de Regulación y Control de las Telecomunicaciones mediante acto administrativo, siempre que la misma no modifique el objeto del título habilitante. No se requerirá la suscripción de un título modificatorio.

Artículo 113.- Compartición de Infraestructura.

Las y los prestadores de servicios de radiodifusión y televisión, incluyendo audio y vídeo por suscripción tienen la obligación de compartir la infraestructura relacionada con la prestación de servicios con sujeción a la normativa que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones.

Artículo 114.- Características Técnicas.

Las características técnicas para la operación de los servicios de radiodifusión serán las que apruebe la Agencia de Regulación y Control de las Telecomunicaciones en los procesos de adjudicación, de conformidad con lo dispuesto en la Ley Orgánica de Comunicación

Artículo 115.- Clasificación.

Las estaciones de radiodifusión y televisión abierta se clasificarán de conformidad con lo dispuesto en la Ley Orgánica de Comunicación.

TÍTULO XIII.-RÉGIMEN SANCIONATORIO

CAPÍTULO I.- Infracciones

Artículo 116.- Ámbito subjetivo y definición de la responsabilidad.

El control y el régimen sancionador establecido en este Título se aplicarán a las personas naturales o jurídicas que cometan las infracciones tipificadas en la presente Ley.

La imposición de las sanciones establecidas en la presente Ley no excluye o limita otras responsabilidades administrativas, civiles o penales previstas en el ordenamiento jurídico vigente y títulos habilitantes.

Si las infracciones establecidas en la presente ley constituyen también abuso del poder del mercado y/o prácticas restrictivas a la competencia, éstas podrán también ser sancionadas de acuerdo a la Ley Orgánica de Regulación y Control del Poder de Mercado. No obstante, no podrán imponerse dos sanciones por una misma conducta. En tal caso, el organismo competente de sustanciar e imponer la sanción respectiva, será quien prevenga en el conocimiento de la causa.

Artículo 117.- Infracciones de primera clase.

a) Son infracciones de primera clase aplicables a personas naturales o jurídicas, no poseedoras de títulos habilitantes comprendidos en el ámbito de la presente Ley, las siguientes:

  1. La comercialización o la utilización de equipos terminales que no hayan sido homologados o no cumplan con las condiciones técnicas autorizadas.
  1. Suministrar al Ministerio de Telecomunicaciones y de la Sociedad de la Información o a la Agencia de Regulación y Control de las Telecomunicaciones información inexacta o incompleta sobre aspectos que estos hayan solicitado, de conformidad con lo dispuesto en esta Ley y sus reglamentos.
  1. Cualquier otro incumplimiento de las obligaciones previstas en la presente Ley y su Reglamento; los planes, normas técnicas y resoluciones emitidas por el Ministerio de Telecomunicaciones y de la Sociedad de la Información y por la Agencia de Regulación y Control de las Telecomunicaciones.

b) Son infracciones de primera clase aplicables a poseedores de títulos habilitantes comprendidos en el ámbito de la presente Ley las siguientes:

  1. No informar a la Agencia de Regulación y Control de las Telecomunicaciones o a los usuarios sobre modificaciones en las tarifas en los plazos establecidos en esta Ley.
  1. La comercialización, instalación o activación de equipos, aparatos o terminales bloqueados que no puedan ser utilizados por los usuarios cuando deseen contratar el servicio con otro prestador o no puedan ser activados o utilizados en las redes de estos.
  1. La falta de notificación sobre la interrupción total o parcial del servicio por causas programadas o no programadas, de conformidad con el procedimiento que emita la Agencia de Regulación y Control de las Telecomunicaciones a tal efecto o que consten en los títulos habilitantes.
  1. No remitir a la Agencia de Regulación y Control de las Telecomunicaciones el listado contentivo del inventario de infraestructura de telecomunicaciones instalada y autorizada en los plazos establecidos por la referida entidad.
  1. La comercialización o permitir la utilización de equipos terminales que no hayan sido homologados o no cumplan con las condiciones técnicas autorizadas.
  1. Si las y los prestadores no informan sobre los cambios en las condiciones económicas, legales o técnicas de la interconexión dentro de treinta días hábiles.
  1. Suministrar al Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información o a la Agencia de Regulación y Control de las Telecomunicaciones información inexacta o incompleta sobre aspectos que estos hayan solicitado, de conformidad con lo dispuesto en esta Ley y sus reglamentos.
  1. La instalación de infraestructura de telecomunicaciones, sin contar con dispositivos de seguridad humana, señalización para navegación aérea y rótulos de identificación o sin los instrumentos de medición debidamente identificados.
  1. No observar las políticas o normas establecidas en materia de mimetización, ordenamiento y soterramiento de redes.
  1. No notificar a la Agencia de Regulación y Control de las Telecomunicaciones, para el registro correspondiente, el cambio de representante legal de las personas jurídicas habilitadas para la prestación de servicios de radiodifusión.
  1. No notificar a la Agencia de Regulación y Control de las Telecomunicaciones sobre los cambios realizados a los estatutos de la compañía habilitada para la prestación de servicios de telecomunicaciones y radiodifusión.
  1. La realización de cambios o modificaciones técnicas a las estaciones para la prestación de servicios de radiodifusión o a las redes de telecomunicaciones, cuando afecten a la prestación del servicio, sin notificar previamente a la Agencia de Regulación y Control de las Telecomunicaciones y obtener la autorización pertinente.
  1. No atender, en los plazos establecidos por la Agencia de Regulación y Control de las Telecomunicaciones, los pedidos de ampliación de capacidad realizados por las prestadoras interconectadas a su red.
  1. Instalar o cambiar, sin autorización previa, los estudios principales o secundarios o transmisores de una estación para la prestación de servicios de radiodifusión dentro del área autorizada.
  1. No informar a los usuarios las tarifas aplicadas en la tasación y facturación de consumo de los servicios de telecomunicaciones.
  1. Cualquier otro incumplimiento de las obligaciones previstas en la presente Ley y su Reglamento, los planes, normas técnicas y resoluciones emitidas por el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información y por la Agencia de Regulación y Control de las Telecomunicaciones y las obligaciones incorporadas en los títulos habilitantes que no se encuentren señaladas como infracciones en dichos instrumentos.

Artículo 118.- Infracciones de segunda clase.

a) Son infracciones de segunda clase aplicables a personas naturales o jurídicas, no poseedoras de títulos habilitantes comprendidos en el ámbito de la presente Ley, las siguientes:

  1. Obstaculizar el ejercicio de las potestades de control, auditoría y vigilancia, por parte de la Agencia de Regulación y Control de las Telecomunicaciones o negar el acceso de su personal debidamente identificado a las instalaciones, equipos o documentación que dicho organismo considere necesarios para el ejercicio de dichas potestades.
  1. Causar interferencias perjudiciales.
  1. No suministrar información o documentos previstos en esta Ley y sus reglamentos o solicitados por el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información o la Agencia de Regulación y Control de las Telecomunicaciones en los términos y plazos fijados por estos.
  1. No acatar las resoluciones que se encuentren en firme en la vía administrativa, emitidas por la Agencia de Regulación y Control de las Telecomunicaciones en los procedimientos administrativos sancionadores.
  1. La reincidencia en la comisión de cualquier infracción de primera clase dentro de un período de seis meses, contados a partir de la declaración del incumplimiento por parte de la Agencia de Regulación y Control de las Telecomunicaciones mediante Resolución.

b) Son infracciones de segunda clase aplicables a poseedores de títulos habilitantes comprendidos en el ámbito de la presente Ley, las siguientes:

  1. Interrumpir de forma total o parcial el servicio, sin autorización o por causas imputables al prestador de servicios, conforme con lo establecido en la normativa secundaria y en los títulos habilitantes.
  2. Obstaculizar el ejercicio de las potestades de control, auditoría y vigilancia, por parte de la Agencia de Regulación y Control de las Telecomunicaciones o negar el acceso de su personal debidamente identificado a las instalaciones, equipos o documentación que dicho organismo considere necesarios para el ejercicio de dichas potestades.
  1. Causar interferencias perjudiciales.
  1. Cobrar tarifas superiores a las pactadas con el usuario.
  1. Cobrar por servicios no contratados o no prestados.
  1. No disponer de servicios de información y asistencia para la atención de reclamos, de acuerdo con la normativa vigente y obligaciones incorporadas en los títulos habilitantes.
  1. La carencia de planes de contingencia en casos de desastres naturales o conmoción interna o no cumplir con los servicios requeridos en casos de emergencia, tales como llamadas de emergencia gratuitas, provisión de servicios auxiliares para seguridad ciudadana y cualquier otro servicio definido como servicio social o de emergencia por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Interconectarse sin cumplir con lo establecido en los acuerdos de interconexión previamente suscritos o lo dispuesto por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Realizar la interconexión sin la aprobación del acuerdo, orden o disposición de interconexión por parte de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. La suscripción de contratos de servicios con usuarios, utilizando modelos que no se sujeten a las condiciones generales o modelos no aprobados por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. El incumplimiento de los valores objetivos de los parámetros de calidad contenidos en los títulos habilitantes, planes, normas técnicas y resoluciones emitidas por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. El incumplimiento de la obligación de prestar la portabilidad numérica en los términos y condiciones establecidos por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. No suministrar información o documentos previstos en esta Ley y sus reglamentos o solicitados por el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información o la Agencia de Regulación y Control de las Telecomunicaciones, en los términos y plazos fijados por estos.
  1. Condicionar la prestación del servicio de telecomunicaciones a la compra, arrendamiento o uso de equipos terminales del operador que preste el servicio o la contratación obligatoria de otros servicios ofrecidos por el mismo u otro prestador.
  1. La activación de terminales reportados como robados, incluyendo las activaciones realizadas por distribuidores o cualquier otro tipo de comercializadores autorizados por una operadora de telecomunicaciones.
  1. Instalar infraestructura de transmisión de servicios de radiodifusión fuera del área de cobertura autorizada.
  1. La suspensión de las transmisiones de los servicios de radiodifusión por más de ocho días, sin la obtención previa de la autorización correspondiente.
  1. Modificar unilateralmente los términos de los contratos de servicios que se suscriben con sus usuarios, así como dejar espacios en blanco en los contratos suscritos.
  1. Por falta de inicio de operaciones conforme con el plazo fijado en el título habilitante o en el Reglamento. En caso de no haberse fijado una fecha de inicio, en el lapso de un año contado a partir del otorgamiento y registro del título habilitante, con excepción de los servicios de radiodifusión.
  1. No prestar acceso gratuito a los servicios públicos de emergencia.
  1. Suspender la prestación de servicios de telecomunicaciones sin causa justificada, o suspender el servicio mientras se encuentra en trámite una reclamación presentada por el usuario.
  1. Incumplir las disposiciones y recomendaciones de los informes de auditoría realizados por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. No acatar las resoluciones que se encuentren en firme en la vía administrativa, emitidas por la Agencia de Regulación y Control de las Telecomunicaciones en los procedimientos administrativos sancionadores.
  1. El incumplimiento de normas sobre radiaciones no ionizantes.
  1. Retardar u obstaculizar injustificadamente la interconexión con otros operadores, previa determinación de la Agencia de Regulación de las Telecomunicaciones.
  1. Retardar u obstaculizar injustificadamente la compartición de infraestructura con otros prestadores, previa determinación de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. No acatar ni cumplir a cabalidad las disposiciones de interconexión o de compartición de infraestructura emitidas por la Agencia de Regulación y Control de las Telecomunicaciones en los términos y plazos establecidos por esta.
  1. Realizar la facturación y tasación, utilizando el sistema de redondeo de tarifas, sin observar el tiempo efectivo de uso.
  1. La reincidencia en la comisión de cualquier infracción de primera clase, dentro de un período de seis meses, contados a partir de la declaración del incumplimiento por parte de la Agencia de Regulación y Control de las Telecomunicaciones, mediante Resolución, o cuando son de cumplimiento semestral o anual, en dos períodos continuos.

Artículo 119.- Infracciones de Tercera Clase.

a) Son infracciones de tercera clase aplicables a personas naturales o jurídicas, no poseedoras de títulos habilitantes comprendidos en el ámbito de la presente Ley, las siguientes:

  1. Explotación o uso de frecuencias, sin la obtención previa del título habilitante o concesión correspondiente, así como la prestación de servicios no autorizados, de los contemplados en la presente Ley.
  1. No acatar ni cumplir a cabalidad las disposiciones de compartición de infraestructura emitidas por la Agencia de Regulación y Control de las Telecomunicaciones en los términos y plazos establecidos por esta.
  1. El incumplimiento de disposiciones emitidas por la Agencia de Regulación y Control de las Telecomunicaciones destinadas al cese de interferencias perjudiciales.
  1. La reincidencia en la comisión de cualquier infracción de segunda clase dentro de un período de seis meses, contados a partir de la declaratoria de incumplimiento por parte del Organismo de Regulación y Control de las Telecomunicaciones, mediante Resolución.

b) Son infracciones de tercera clase aplicables a poseedores de títulos habilitantes comprendidos en el ámbito de la presente Ley, las siguientes:

  1. Cobrar tarifas por encima de los topes tarifarios aprobados por la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Explotación o uso de frecuencias sin la obtención previa del título habilitante o concesión correspondiente, así como la prestación de servicios no autorizados por prestadores que posean títulos habilitantes para otros servicios.
  1. El incumplimiento de disposiciones emitidas por la Agencia de Regulación y Control de las Telecomunicaciones destinadas al cese de interferencias perjudiciales.
  1. Causar la interrupción de servicios prestados por otros prestadores de manera deliberada.
  1. La reincidencia en la comisión de cualquier infracción de segunda clase dentro de un período de seis meses, contados a partir de la declaratoria de incumplimiento por parte del Organismo de Regulación y Control de las Telecomunicaciones, mediante Resolución, o cuando son de cumplimiento semestral o anual, en dos períodos continuos.

Artículo 120.- Infracciones cuarta clase.

Constituyen infracciones de este tipo las siguientes conductas, aplicables a poseedores de títulos habilitantes comprendidos en el ámbito de la presente Ley:

  1. Ceder, enajenar, gravar o transferir de cualquier forma el título habilitante para la prestación de servicios de telecomunicaciones.
  1. La realización de operaciones que, de cualquier forma, impliquen cambio de control sobre el titular de un título habilitante, sin haber solicitado ni obtenido previamente la autorización de la Agencia de Regulación y Control de las Telecomunicaciones, único ente autorizado para el efecto en los casos que sea procedente.
  1. Cuando el prestador de servicios de telecomunicaciones no implemente, en el plazo establecido por la Agencia de Regulación y Control de las Telecomunicaciones, las recomendaciones expresas emitidas o dispuestas por esta para evitar o minimizar el uso de sus redes y servicios de telecomunicaciones como medio para la comisión de delitos.
  1. La mora en el pago de más de tres meses consecutivos de los derechos, tarifas, contribuciones y demás obligaciones económicas con la Agencia de Regulación y Control de las Telecomunicaciones y con el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información, así como aquellas relacionadas con el cumplimiento de obligaciones de Servicio Universal, exigibles de conformidad con esta Ley, sus reglamentos y lo estipulado en los títulos habilitantes o contratos de concesión.
  1. La prestación de servicios en contra de la seguridad nacional.
  1. La reincidencia en la comisión de cualquier infracción de tercera clase dentro de un período de seis meses, contados a partir de la declaratoria de incumplimiento por parte de la Agencia de Regulación y Control de las Telecomunicaciones mediante Resolución.
  1. Por suspender emisiones, de una estación del servicio de radiodifusión por más de noventa días consecutivos, sin autorización de la Agencia de Regulación y Control de las Telecomunicaciones.

CAPÍTULO II.- Sanciones

Artículo 121.- Clases.

Las sanciones para las y los prestadores de servicios de telecomunicaciones y radiodifusión, televisión y audio y vídeo por suscripción, se aplicarán de la siguiente manera:

  1. Infracciones de primera clase.- La multa será de entre el 0,001% y el 0,03% del monto de referencia.
  1. Infracciones de segunda clase.- La multa será de entre el 0,031% al 0,07% del monto de referencia.
  1. Infracciones de tercera clase.- La multa será de entre el 0,071% y el 0,1 % del monto de referencia.
  1. Infracciones de cuarta clase.- La sanción será la revocatoria del título habilitante, con excepción de aquellas que se originen en tercera clase y que por reincidencia se establezcan como de cuarta clase en la que la multa será del 1% del monto de referencia.

Artículo 122.- Monto de referencia.

Para la aplicación de las multas establecidas en esta Ley, el monto de referencia se obtendrá con base en los ingresos totales del infractor correspondientes a su última declaración de Impuesto a la Renta, con relación al servicio o título habilitante del que se trate.

Únicamente en caso de que no se pueda obtener la información necesaria para determinar el monto de referencia y se justifique tal imposibilidad, las multas serán las siguientes:

a) Para las sanciones de primera clase, hasta cien Salarios Básicos Unificados del trabajador en general.

b) Para las sanciones de segunda clase, desde ciento uno hasta trescientos Salarios Básicos Unificados del trabajador en general.

c) Para las sanciones de tercera clase, desde trescientos uno hasta mil quinientos Salarios Básicos Unificados del trabajador en general.

d) Para las sanciones de cuarta clase, desde mil quinientos uno hasta dos mil Salarios Básicos Unificados del trabajador en general.

En caso de que no se pueda obtener la información necesaria para determinar el monto de referencia y se justifique tal imposibilidad, para los servicios de telecomunicaciones cuyo título corresponda a un registro de actividades, así como los servicios de radiodifusión y televisión y audio y vídeo por suscripción, aplicará el 5% de las multas referidas en los literales anteriores.

Artículo 123.- Destino de las multas.

Los montos derivados de la imposición de las multas establecidas en la presente Ley ingresarán al Presupuesto General del Estado.

Cuando las empresas públicas prestadoras de servicios comprendidos en el ámbito de la presente Ley sean sancionadas por cualquiera de las infracciones prescritas, ejercerán el derecho de repetición en contra del servidor público responsable de la acción u omisión que generó la imposición de la sanción. El trámite para repetir será el establecido en el ordenamiento jurídico vigente.

En todos los casos no se exonerará las responsabilidades administrativas, civiles o penales, de haberlas.

Artículo 124.- Clausura de estaciones de radiodifusión.

Las estaciones de radiodifusión sonora y televisión que se instalen y operen y usen frecuencias del espectro radioeléctrico con tales fines sin la correspondiente habilitación, y en igual forma, en el caso de sistemas de audio y video por suscripción, aun cuando estos últimos no hagan uso de espectro radioeléctrico, sin la correspondiente habilitación, serán clausuradas con el apoyo de la autoridad competente de Policía Nacional de la respectiva jurisdicción donde se encuentre instalada la estación o el sistema.

CAPÍTULO III .-Procedimiento Sancionador, Medidas y Prescripción

Artículo 125.- Potestad sancionadora.

Corresponde a la Agencia de Regulación y Control de las Telecomunicaciones iniciar de oficio o por denuncia, sustanciar y resolver el procedimiento administrativo destinado a la determinación de una infracción y, en su caso, a la imposición de las sanciones establecidas en esta Ley. La Agencia deberá garantizar el debido proceso y el derecho a la defensa en todas las etapas del procedimiento sancionador.

El procedimiento sancionador establecido en este Capítulo no podrá ser modificado o alterado mediante estipulaciones contenidas en los títulos habilitantes. En caso de que algún título habilitante contemple tales modificaciones, estas se entenderán nulas y sin ningún valor.

Artículo 126.- Apertura.

Cuando se presuma la comisión de cualquiera de las infracciones establecidas en esta Ley, el Organismo Desconcentrado de la Agencia de Regulación y Control de las Telecomunicaciones emitirá el acto de apertura del procedimiento sancionador. Dicho acto deberá indicar (i) los hechos que presuntamente constituyen la infracción, (ii) la tipificación de las infracciones de las que se trate y las disposiciones presuntamente vulneradas, (iii) las posibles sanciones que procederían en caso de comprobarse su existencia, así como (iv) el plazo para formular los descargos.

En este acto de apertura, se deberá adjuntar el informe técnico-jurídico que sustente el mismo.

Artículo 127.- Pruebas.

El presunto infractor podrá presentar sus alegatos y descargos y aportar y solicitar las pruebas que considere necesarias para su defensa, dentro de los quince días hábiles siguientes a la notificación del acto de apertura del procedimiento. Vencido este lapso, se abrirá un período de quince días hábiles para la evacuación de las pruebas solicitadas. En caso de necesidad comprobada para la evacuación de pruebas por parte del presunto infractor o del Organismo Desconcentrado de la Agencia de Regulación y Control de las Telecomunicaciones, se podrá prorrogar el lapso de evacuación de pruebas mediante acto debidamente motivado.

Se admitirán las pruebas permitidas por el ordenamiento jurídico vigente con excepción de la confesión judicial. Podrán declararse improcedentes aquellas pruebas que no sean pertinentes por su falta de relación con los hechos o que no puedan alterar la resolución final a favor del presunto infractor.

Artículo 128.- Potestades de investigación.

El Organismo Desconcentrado de la Agencia de Regulación y Control de las Telecomunicaciones tendrá potestades de investigación durante el procedimiento sancionador y podrá solicitar toda clase de información, inclusive aquella sometida a sigilo bancario, o requerir la colaboración de entes u órganos públicos o privados para la determinación de los hechos o de la existencia de la infracción.

Artículo 129.- Resolución.

El Organismo Desconcentrado de la Agencia de Regulación y Control de las Telecomunicaciones, emitirá la resolución del procedimiento administrativo sancionador dentro de los veinte días hábiles siguientes al vencimiento del lapso de evacuación de pruebas.

El plazo para resolver podrá ser prorrogado motivadamente por una vez por un período igual al señalado en el párrafo anterior.

Artículo 130.- Atenuantes.

Para los fines de la graduación de las sanciones a ser impuestas o su subsanación se considerarán las siguientes circunstancias atenuantes:

  1. No haber sido sancionado por la misma infracción, con identidad de causa y efecto en los nueve meses anteriores a la apertura del procedimiento sancionador.
  1. Haber admitido la infracción en la sustanciación del procedimiento administrativo sancionatorio. En este caso, se deberá presentar un plan de subsanación, el cual será autorizado por la Agencia de Regulación y Control de Telecomunicaciones.
  1. Haber subsanado integralmente la infracción de forma voluntaria antes de la imposición de la sanción.
  1. Haber reparado integralmente los daños causados con ocasión de la comisión de la infracción, antes de la imposición de la sanción.

En caso de concurrencia, debidamente comprobada, de las circunstancias atenuantes 1, 3 y 4, la Agencia de Regulación y Control de las Telecomunicaciones, en los casos en los que considere aplicable, y previa valoración de la afectación al mercado, al servicio o a los usuarios, podrá abstenerse de imponer una sanción, en caso de infracciones de primera y segunda clase. Esta disposición no aplica para infracciones de tercera y cuarta clase.

Artículo 131.- Agravantes.

En el ejercicio de su potestad sancionatoria, igualmente se deberán valorar las siguientes circunstancias agravantes:

  1. La obstaculización de las labores de fiscalización, investigación y control, antes y durante la sustanciación del procedimiento sancionatorio de la infracción sancionada.
  1. La obtención de beneficios económicos con ocasión de la comisión de la infracción.
  1. El carácter continuado de la conducta infractora.

Artículo 132.- Legitimidad, ejecutividad y medidas correctivas.

Los actos administrativos que resuelvan los procedimientos administrativos sancionadores se presumen legítimos y tienen fuerza ejecutiva una vez notificados. El infractor deberá cumplirlos de forma inmediata o en el tiempo establecido en dichos actos. En caso de que el infractor no cumpla voluntariamente con el pago de la multa impuesta, la multa se recaudará mediante el procedimiento de ejecución coactiva, sin perjuicio de la procedencia de nuevas sanciones, de conformidad con lo dispuesto en esta Ley.

La imposición de recursos administrativos o judiciales contra las resoluciones de los procedimientos administrativos sancionadores no suspende su ejecución.

Además de la sanción impuesta, se podrá ordenar el cumplimiento de las obligaciones cuyo incumplimiento generó la sanción o las medidas correctivas adecuadas y proporcionales a los incumplimientos. Para tal efecto, podrá incluso solicitar el auxilio y colaboración de la fuerza pública o de otras entidades públicas.

En caso de que el infractor, dentro del plazo ordenado, no cumpla con lo resuelto en el procedimiento sancionador, la Agencia de Regulación y Control de las Telecomunicaciones podrá, subsidiariamente, ejecutar lo resuelto y recuperar, vía ejecución coactiva en contra del infractor, los gastos en los que haya incurrido en la ejecución subsidiaria.

Adicionalmente, se podrá ordenar la reparación de los daños y perjuicios a terceros, tales como la devolución de valores indebidamente cobrados con sus respectivos intereses o la compensación a los abonados, clientes o usuarios por suspensión, interrupción o mala calidad del servicio.

Artículo 133.- Medidas preventivas.

Antes o en cualquier estado del procedimiento administrativo sancionador, podrá adoptar medidas preventivas, tales como la orden de cese de una conducta, la orden de permitir el acceso, la interconexión, la ocupación o el uso compartido, la suspensión del cobro de una tarifa, la suspensión de un servicio, entre otras.

Las medidas preventivas deberán ajustarse a la intensidad, proporcionalidad y necesidades del daño que se pretenda evitar.

Cuando la medida preventiva se adopte antes del inicio del procedimiento administrativo sancionador, dicha medida caducará si no se inicia el referido procedimiento en un plazo de quince días hábiles contados a partir de la fecha de su notificación.

Artículo 134.- Apelación.

La resolución del Organismo Desconcentrado de la Agencia de Regulación y Control de las Telecomunicaciones en el procedimiento administrativo sancionador, podrá ser recurrida administrativamente en apelación ante el Director Ejecutivo de dicha Agencia dentro del plazo de quince días hábiles de notificada.

Dicho funcionario tendrá el plazo de sesenta días hábiles para resolver y lo hará en mérito de los autos, sin más trámite. La apelación no suspenderá la ejecución del acto ni de las medidas que se hubieran adoptado u ordenado, salvo que el Director lo disponga cuando la ejecución del acto o las medidas pudieran causar perjuicios de imposible o difícil reparación.

Artículo 135.- Prescripción.

La potestad administrativa para imponer las sanciones previstas en esta Ley prescribirá en un plazo de cinco años, contados desde el cometimiento de la infracción, o en su caso, desde el día en el que la Agencia de Regulación y Control de las Telecomunicaciones haya tenido conocimiento de los hechos constitutivos de la infracción por cualquier medio. La ejecución de las sanciones administrativas impuestas, de conformidad con lo dispuesto en la presente Ley, prescribirá a los cinco años contados desde el momento en que hayan quedado en firme.

CAPÍTULO IV.- Intervención y Reversión de Bienes por Revocatoria

Artículo 136.- Intervención.

Dentro del procedimiento administrativo sancionador por infracciones de cuarta clase o en los casos previstos en los títulos habilitantes que impliquen la sanción de revocatoria, la Agencia de Regulación y Control de las Telecomunicaciones podrá ordenar la intervención del título habilitante, a fin de precautelar el interés público y garantizar la continuidad del servicio.

Artículo 137.- Procedimiento de intervención.

La Agencia de Regulación y Control de las Telecomunicaciones establecerá el procedimiento administrativo de la intervención, sus efectos y alcances, designando para ello a un interventor que, conjuntamente con el órgano de dirección de la empresa, se encargará del cumplimiento de las obligaciones cuyo incumplimiento provocó el inicio del procedimiento sancionador y adoptará las medidas necesarias para garantizar la continuidad del servicio. La intervención durará hasta que, a criterio de la Agencia de Regulación y Control de las Telecomunicaciones, y sobre la base de los informes del interventor, se haya remediado el incumplimiento o se haya garantizado la continuidad de los servicios, caso contrario se procederá con la revocatoria del título habilitante.

Artículo 138.- Reversión de bienes por revocatoria del título habilitante

La revocatoria del título habilitante para la prestación de un servicio de telecomunicaciones conlleva la reversión de los activos afectos a la prestación del servicio en los casos que la Agencia de Regulación y Control de las Telecomunicaciones lo determine. La resolución de revocatoria incluirá la orden de reversión de los bienes afectos a la prestación del servicio, que constituirá título traslativo de dominio de los bienes.

Para la determinación del monto que el Estado pagará al prestador de servicios por concepto de la reversión de los bienes afectos a la prestación del servicio, se atenderá al valor original de los bienes depreciados y amortizados, según información contable declarada por el prestador para el pago del impuesto a la renta.

Artículo 139.- Inhabilitación.

Las personas naturales o jurídicas que hayan sido objeto de una sanción de cuarta clase, de conformidad con lo dispuesto en la presente Ley, que implique la revocatoria del título habilitante no podrán solicitar ni obtener títulos habilitantes para prestar servicios de telecomunicaciones o usar el espectro radioeléctrico.

TÍTULO XIV.- INSTITUCIONALIDAD PARA LA REGULACIÓN Y CONTROL

CAPÍTULO I Ministerio de Telecomunicaciones y de la Sociedad de la Información

Artículo 140.- Rectoría del sector.

El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional.

Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado.

Artículo 141.- Competencias del Órgano Rector.

Corresponde al órgano rector del sector de las Telecomunicaciones y de la Sociedad de la Información:

  1. Ejercer, a nivel internacional, la representación del Estado ecuatoriano en materia de telecomunicaciones, espectro radioeléctrico y tecnologías de la información y las comunicaciones. El Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información ejerce la Administración de las Telecomunicaciones del Ecuador ante la Unión Internacional de Telecomunicaciones (UIT) y demás organismos internacionales.
  1. Formular, dirigir, orientar y coordinar las políticas, planes y proyectos para la promoción de las tecnologías de la información y la comunicación y el desarrollo de las telecomunicaciones, así como supervisar y evaluar su cumplimiento.
  1. Formular, dirigir, orientar y coordinar las políticas públicas para la adecuada administración y gestión del espectro radioeléctrico con sujeción a la presente Ley.
  1. Promover, en coordinación con instituciones públicas o privadas, la investigación científica y tecnológica en telecomunicaciones, tecnologías de la información y comunicación, así como la ejecución de los proyectos que la apoyen.
  1. Aprobar el Plan de Servicio Universal y definir los servicios de telecomunicaciones que se incluyen en el Servicio Universal.
  1. Realizar las contrataciones y procedimientos que sean necesarios para el cumplimiento del Plan de Servicio Universal y sus proyectos y emitir las instrucciones necesarias a la Agencia de Regulación y Control de las Telecomunicaciones para la inclusión de obligación de servicio universal en los títulos habilitantes.
  1. Coordinar y liderar el uso efectivo de las tecnologías de la información y comunicación en los organismos públicos.
  1. Gestionar la asignación de posiciones orbitales geoestacionarias o satelitales ante la Unión Internacional de Telecomunicaciones u otros organismos internacionales a favor de la República de Ecuador.
  1. Determinar, para fines de cumplimiento de sus competencias, la información sectorial a requerir a las y los prestadores o proveedores de servicios de telecomunicaciones.
  1. Establecer políticas y normas técnicas para la fijación de tasas o contraprestaciones en aplicación de los artículos 9 y 11 de esta Ley.
  1. Las demás establecidas en la presente Ley, su Reglamento General y en general en el ordenamiento jurídico vigente.

CAPÍTULO II.- Agencia de Regulación y Control de las Telecomunicaciones

Artículo 142.- Creación y naturaleza.

Créase la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) como persona jurídica de derecho público, con autonomía administrativa, técnica, económica, financiera y patrimonio propio, adscrita al Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información. La Agencia de Regulación y Control de las Telecomunicaciones es la entidad encargada de la administración, regulación y control de las telecomunicaciones y del espectro radioeléctrico y su gestión, así como de los aspectos técnicos de la gestión de medios de comunicación social que usen frecuencias del espectro radioeléctrico o que instalen y operen redes.

Artículo 143.- Domicilio y desconcentración.

La Agencia de Regulación y Control de las Telecomunicaciones tendrá su sede en el Distrito Metropolitano de Quito, sin perjuicio del establecimiento de oficinas para gestión desconcentrada a fin de la promoción de la desconcentración administrativa, de conformidad con lo dispuesto en el ordenamiento jurídico vigente. No obstante lo dispuesto en este artículo, no podrán desconcentrarse las competencias normativas.

Artículo 144.- Competencias de la Agencia.

Corresponde a la Agencia de Regulación y Control de las Telecomunicaciones:

  1. Emitir las regulaciones, normas técnicas, planes técnicos y demás actos que sean necesarios en el ejercicio de sus competencias, para que la provisión de los servicios de telecomunicaciones cumplan con lo dispuesto en la Constitución de la República y los objetivos y principios previstos en esta Ley, de conformidad con las políticas que dicte el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información.
  1. Elaborar, aprobar, modificar y actualizar el Plan Nacional de Frecuencias.
  1. Elaborar las propuestas de valoración económica para la asignación y uso, aprovechamiento y/o explotación del espectro radioeléctrico, tarifas por uso de frecuencias y derechos por otorgamiento y renovación de títulos habilitantes.
  1. Ejercer el control de la prestación de los servicios de telecomunicaciones, incluyendo el servicio de larga distancia internacional, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y a lo establecido en los correspondientes títulos habilitantes.
  1. Ejercer el control técnico de los medios de comunicación social que usen frecuencias del espectro radioeléctrico o que instalen y operen redes, tales como los de audio y video por suscripción.
  1. Controlar y monitorear el uso del espectro radioeléctrico.
  1. Normar, sustanciar y resolver los procedimientos de otorgamiento, administración y extinción de los títulos habilitantes previstos en esta Ley.
  1. Implementar, organizar y administrar el Registro Público de Telecomunicaciones.
  1. Autorizar la cesión, transferencia o enajenación de los títulos habilitantes de conformidad con lo establecido en esta Ley. Lo señalado en este numeral no aplica para los títulos habilitantes otorgados al amparo de la Ley Orgánica de Comunicación y su normativa de desarrollo.
  1. Regular y controlar las tarifas por la prestación de los servicios de telecomunicaciones de conformidad con esta Ley.
  1. Establecer los requisitos, contenidos, condiciones, términos y plazos de los títulos habilitantes.
  1. Establecer regulaciones generales o particulares cuando existan distorsiones a la competencia en los servicios de telecomunicaciones o afectación a los derechos de los abonados o usuarios, incluyendo reglas especiales a aquellos prestadores que, individual o colectivamente, cuenten con poder de mercado.
  1. Aprobar y registrar los acuerdos de interconexión y acceso y ordenar su modificación cuando sea necesario, de conformidad con esta Ley.
  1. Regular la interconexión y el acceso e intervenir en tales relaciones, así como emitir las correspondientes disposiciones de conformidad con esta Ley.
  1. Establecer y recaudar los derechos económicos por la prestación de servicios de telecomunicaciones y demás valores establecidos en esta Ley en el marco de sus competencias.
  1. Recaudar la contribución para la ejecución del servicio universal.
  1. Homologar los equipos terminales de telecomunicaciones y calificar los laboratorios de certificación técnica correspondientes.
  1. Iniciar y sustanciar los procedimientos administrativos de determinación de infracciones e imponer en su caso, las sanciones previstas en esta Ley.
  1. Ejercer, de conformidad con la Ley, la jurisdicción coactiva en todos los casos de su competencia.
  1. Autorizar, en el ámbito de su competencia, las operaciones que, de cualquier forma, impliquen un cambio en el control de las y los prestadores de servicios de telecomunicaciones, de conformidad con lo dispuesto en esta Ley y su Reglamento General y las normas que emita.
  1. Sustanciar y normar los procedimientos de atención de reclamos por violación a los derechos de los abonados y usuarios de los servicios de telecomunicaciones.
  1. Inspeccionar y fiscalizar la instalación, establecimiento y explotación de redes de telecomunicaciones y los sistemas de los medios de comunicación social que usen el espectro radioeléctrico, así como las redes de audio y vídeo por suscripción.
  1. Requerir a las y los prestadores de servicios de telecomunicaciones cualquier información que considere conveniente, producida como consecuencia de la prestación de los servicios y ejecución de los títulos habilitantes dentro del ámbito de sus competencias.
  1. Evaluar y regular el comportamiento del mercado de telecomunicaciones, determinar la existencia de distorsiones que afecten la competencia o que vulneren los derechos de los abonados y usuarios, así como determinar la existencia de prestadores que, individual o conjuntamente, ejerzan poder de mercado.
  1. Realizar estudios sobre el sector de telecomunicaciones y mantener y publicar las estadísticas de dicho sector.
  1. Regular la ocupación de bienes e infraestructuras de propiedad privada para la instalación de redes de telecomunicaciones y emitir servidumbres de paso y ocupación, de conformidad con lo dispuesto en esta Ley.
  1. Coordinar con las autoridades públicas competentes el acceso y ocupación de bienes de dominio público para alcanzar los objetivos de esta Ley.
  1. Establecer las regulaciones necesarias para garantizar la seguridad de las comunicaciones y la protección de datos personales.
  1. Regular y controlar las actividades relacionadas con el comercio electrónico y firma electrónica, de conformidad con el ordenamiento jurídico vigente.
  1. Ejercer todas las otras competencias previstas en esta Ley y que no han sido atribuidas al Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información ni en el ordenamiento jurídico vigente.

Artículo 145.- Directorio.

La Agencia de Regulación y Control de las Telecomunicaciones tendrá un Directorio conformado por tres miembros que no tendrán relación de dependencia con esta entidad. Estará integrado por:

a) El Ministro rector de las telecomunicaciones y de la Sociedad de la Información, o su delegado permanente, quien lo presidirá y tendrá voto dirimente;

b) El Secretario Nacional de Planificación y Desarrollo o su delegado permanente; y,

c) Un miembro designado por el Presidente de la República.

La o el Director Ejecutivo de la Agencia de Regulación y Control de las Telecomunicaciones actuará como Secretario del Directorio y participará con voz pero sin voto.

Los miembros del Directorio o sus delegados permanentes y la o el Director Ejecutivo de la Agencia de Regulación y Control de las Telecomunicaciones deberán reunir las siguientes condiciones:

  1. Ser ecuatorianos o ecuatorianas.
  2. Tener título profesional de tercer nivel.
  3. No estar incursos en una prohibición para el ejercicio de un puesto o cargo público.
  4. Tener probada experiencia e idoneidad técnica y profesional en el sector de las telecomunicaciones.

Los miembros del Directorio o sus delegados permanentes y la o el Director Ejecutivo, para iniciar sus funciones deberán presentar una declaración juramentada de no mantener conflictos de intereses con prestadores de servicios de carácter privado, en los términos previstos en el artículo 232 de la Constitución de la República.

El Directorio sesionará en forma ordinaria al menos una vez al mes y en forma extraordinaria, cuando cualquiera de sus miembros o el Director Ejecutivo, en forma justificada lo solicite. La convocatoria la hará el Presidente del Directorio, quien además determinará los puntos a tratarse en las sesiones. Durante las sesiones, cualquiera de los miembros y la o el Director Ejecutivo podrán, motivadamente, solicitar el tratamiento de un asunto. Las demás normas relativas al funcionamiento del Directorio constarán en el Reglamento General de esta ley.

Artículo 146.- Atribuciones del Directorio.

Corresponde al Directorio de la Agencia de Regulación y Control de las Telecomunicaciones:

  1. Aprobar las normas generales para el otorgamiento y extinción de los títulos habilitantes contemplados en esta Ley.
  1. Aprobar, modificar y actualizar el Plan Nacional de Frecuencias.
  1. Aprobar la valoración económica para la asignación y uso, aprovechamiento y/o explotación del espectro radioeléctrico, tarifas y derechos por otorgamiento y renovación de títulos habilitantes.
  1. Limitar, en cualquier momento, el número de concesiones a otorgarse para el uso, aprovechamiento y/o explotación del espectro radioeléctrico para telecomunicaciones, con el objeto de garantizar el uso racional o eficiente del espectro radioeléctrico, por razones económicas o para alcanzar un objetivo de interés público, en cuyo caso la asignación de frecuencias del espectro radioeléctrico deberá realizarse mediante procedimiento público competitivo.
  1. Aprobar la proforma presupuestaria e informe anual de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Aprobar el Plan Estratégico y el Estatuto Orgánico de Gestión Organizacional por procesos de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Aprobar los reglamentos previstos en esta Ley o los necesarios para su cumplimiento y los reglamentos internos para el funcionamiento de la Agencia.
  1. Designar a la Directora o Director Ejecutivo de la Agencia de Regulación y Control de las Telecomunicaciones de una terna que presente el Presidente del Directorio, y removerlo de ser necesario.
  1. Aprobar los derechos económicos para el otorgamiento de títulos habilitantes para la prestación de servicios y por el uso, aprovechamiento y/o explotación del espectro radioeléctrico, así como las tasas por trámite establecidas en esta Ley; y,
  1. Las demás que consten en la presente Ley y en el ordenamiento jurídico vigente.

Artículo 147.- Director Ejecutivo.

La Agencia de Regulación y Control de las Telecomunicaciones será dirigida y administrada por la o el Director Ejecutivo, de libre nombramiento y remoción del Directorio.

Con excepción de las competencias expresamente reservadas al Directorio, la o el Director Ejecutivo tiene plena competencia para expedir todos los actos necesarios para el logro de los objetivos de esta Ley y el cumplimiento de las funciones de administración, gestión, regulación y control de las telecomunicaciones y del espectro radioeléctrico, así como para regular y controlar los aspectos técnicos de la gestión de medios de comunicación social que usen frecuencias del espectro radioeléctrico o que instalen y operen redes, tales como los de audio y vídeo por suscripción.

Ejercerá sus competencias de acuerdo con lo establecido en esta Ley, su Reglamento General y las normas técnicas, planes generales y reglamentos que emita el Directorio y, en general, de acuerdo con lo establecido en el ordenamiento jurídico vigente.

Artículo 148.- Atribuciones del Director Ejecutivo.

Corresponde a la Directora o Director Ejecutivo de la Agencia de Regulación y Control de las Telecomunicaciones:

  1. Ejercer la dirección, administración y representación legal, judicial y extrajudicial de la Agencia.
  1. Aprobar la planificación institucional de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Dirigir el procedimiento de sustanciación y resolver sobre el otorgamiento y extinción de los títulos habilitantes contemplados en esta Ley, tanto en otorgamiento directo como mediante concurso público, así como suscribir los correspondientes títulos habilitantes, de conformidad con esta Ley, su Reglamento General y los reglamentos expedidos por el Directorio.
  1. Aprobar la normativa para la prestación de cada uno de los servicios de telecomunicaciones, en los que se incluirán los aspectos técnicos, económicos, de acceso y legales, así como los requisitos, contenido, términos, condiciones y plazos de los títulos habilitantes y cualquier otro aspecto necesario para el cumplimiento de los objetivos de esta Ley.
  1. Aprobar los planes técnicos fundamentales y sus posteriores modificaciones.
  1. Autorizar la cesión, transferencia o enajenación de los títulos habilitantes de conformidad con lo establecido en esta Ley y en el ordenamiento jurídico vigente.
  1. Autorizar las operaciones que, de cualquier forma, impliquen un cambio en el control de las y los prestadores de servicios de telecomunicaciones, de conformidad con lo dispuesto en esta Ley y su Reglamento General y las normas que emita.
  1. Conocer y resolver sobre los recursos de apelación presentados en contra de los actos emitidos por el Organismo Desconcentrado de la Agencia, dentro del procedimiento sancionador.
  1. Nombrar, contratar, suspender y remover el personal de la Agencia.
  1. Presentar la proforma presupuestaria e informe anual de la Agencia y someterlo a la aprobación del Directorio.
  1. Aprobar la normativa interna, suscribir los contratos y emitir los actos administrativos necesarios para el funcionamiento de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Delegar una o más de sus competencias a los funcionarios de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Recaudar los derechos económicos para el otorgamiento de títulos habilitantes para la prestación de servicios y por el uso, aprovechamiento y/o explotación del espectro radioeléctrico, así como las tasas por trámite establecidas en esta Ley.
  1. Recaudar la contribución para la ejecución del servicio universal.
  1. Presentar para aprobación del Directorio los proyectos de plan estratégico institucional y de estatuto orgánico por procesos de la Agencia de Regulación y Control de las Telecomunicaciones.
  1. Ejercer las demás competencias establecidas en esta Ley o en el ordenamiento jurídico no atribuidas al Directorio.

DISPOSICIONES GENERALES

Primera.- Procedimiento de consulta pública.

Para la emisión o modificación de planes o actos de contenido normativo, la Agencia de Regulación y Control de las Telecomunicaciones deberá realizar consultas públicas para recibir opiniones, recomendaciones y comentarios de las y los afectados o interesados, en forma física o por medios electrónicos. Las opiniones, sugerencias o recomendaciones que se formulen en el procedimiento de consulta pública no tendrán carácter vinculante.

En todos los casos para la expedición de actos normativos, se contará con estudios o informes que justifiquen su legitimidad y oportunidad.

La Agencia de Regulación y Control de las Telecomunicaciones normará el procedimiento de consulta pública previsto en este artículo.

Segunda.- Consejo Consultivo.

La Agencia de Regulación y Control de las Telecomunicaciones, creará un Consejo Consultivo para la defensa de los derechos de los usuarios de los servicios de telecomunicaciones; su organización y funcionamiento estará sujeto a la normativa que para el efecto emita la Agencia de Regulación y Control de las Telecomunicaciones. Este Consejo está integrado por:

a) Un delegado del Directorio de la Agencia de Regulación y Control de las Telecomunicaciones, quien lo presidirá.

b) Un delegado de la Defensoría del Pueblo.

c) Un delegado de las empresas públicas, prestadoras de servicios de telecomunicaciones.

d) Un delegado de las empresas privadas, prestadoras de servicios de telecomunicaciones.

e) Un delegado de los usuarios de servicios de telecomunicaciones.

Los delegados mencionados en las letras c), d) y e) serán designados mediante colegios electorales, organizados por el Consejo de Participación Ciudadana y Control Social, no percibirán remuneraciones ni dietas y durarán dos años en funciones.

Las recomendaciones que emita el Consejo Consultivo no tendrán el carácter de vinculante y se limitarán al ámbito de defensa de los derechos de los usuarios de servicios de telecomunicaciones.

Tercera.- Destino de los ingresos.

Los ingresos derivados del pago de derechos generados por el otorgamiento de títulos habilitantes en materia de telecomunicaciones y por el uso del espectro radioeléctrico, así como las contribuciones establecidas en esta Ley, ingresarán al Presupuesto General del Estado, con excepción de las tasas por servicios administrativos.

De igual manera, los saldos remanentes de los abonados o clientes, provenientes de las recargas, cuya devolución no haya sido solicitada en el plazo de noventa días contados a partir de la generación de la causal de devolución, serán transferidos por el prestador del servicio al Presupuesto General del Estado, cuando concluya la relación contractual de prestación del servicio, de conformidad con el procedimiento que emita la Agencia de Regulación y Control de las Telecomunicaciones para el efecto.

Cuarta.- Construcción y despliegue de infraestructura.

El Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información establecerá las políticas, disposiciones, cronogramas y criterios para el soterramiento de redes e infraestructura de telecomunicaciones.

Toda construcción de obras públicas o proyectos en los que el Gobierno Central solicite la remoción y reubicación de facilidades de utilidades públicas y que tenga como zona de incidencia o afectación las áreas incluidas en el plan de soterramiento y ordenamiento de redes e infraestructura de telecomunicaciones, deberá soterrarse u ordenarse.

A partir de la entrada en vigencia de esta Ley, todos los proyectos viales y de desarrollo urbano y vivienda deberán prever obligatoriamente la construcción de ductos y cámaras para el soterramiento de las redes e infraestructura de telecomunicaciones, de conformidad con lo previsto en el Código Orgánico de Organización Territorial, Autonomías y Descentralización (COOTAD) y esta Ley.

DISPOSICIONES TRANSITORIAS

Primera.- Los títulos habilitantes para la prestación de servicios de telecomunicaciones otorgados antes de la expedición de la presente Ley se mantendrán vigentes hasta el vencimiento del plazo de su duración sin necesidad de la obtención de un nuevo título. No obstante, las y los prestadores de servicios de telecomunicaciones deberán cumplir con todas las obligaciones y disposiciones contenidas en esta Ley, su Reglamento General, los planes, normas, actos y regulaciones que emita la Agencia de Regulación y Control de las Telecomunicaciones. En caso de contradicción o divergencia entre lo estipulado en los títulos habilitantes y las disposiciones de la presente Ley y su Reglamento General, incluyendo los actos derivados de su aplicación, prevalecerán estas disposiciones.

Segunda.- Los títulos habilitantes cuyo otorgamiento se encuentren en curso al momento de la promulgación de la presente Ley se tramitarán siguiendo los procedimientos previstos en la legislación anterior ante la Agencia de Regulación y Control de las Telecomunicaciones. No obstante, la Agencia de Regulación y Control de las Telecomunicaciones establecerá los contenidos, condiciones, términos y plazos de dichos títulos, de conformidad con lo dispuesto en la presente Ley.

Tercera.- Los juzgamientos administrativos iniciados con anterioridad al momento de la promulgación de esta Ley se tramitarán por parte de la Agencia de Regulación y Control de las Telecomunicaciones siguiendo los procedimientos previstos en la legislación anterior y se aplicarán las sanciones vigentes a la fecha de la comisión de la infracción.

Cuarta.- El Presidente de la República, en el plazo de ciento ochenta días, expedirá el Reglamento General de la presente Ley.

Quinta.- La Agencia de Regulación y Control de las Telecomunicaciones, dentro del plazo de ciento ochenta días contados a partir de la publicación en el Registro Oficial de la presente Ley, adecuará formal y materialmente la normativa secundaria que haya emitido el CONATEL o el extinto CONARTEL y expedirá los reglamentos, normas técnicas y demás regulaciones previstas en esta Ley. En aquellos aspectos que no se opongan a la presente Ley y su Reglamento General, los reglamentos emitidos por el Consejo Nacional de Telecomunicaciones se mantendrán vigentes, mientras no sean expresamente derogados por la Agencia de Regulación y Control de las Telecomunicaciones.

Sexta.- El Directorio de la Agencia de Regulación y Control de las Telecomunicaciones, con el propósito de mantener la continuidad de las actividades de regulación, administración, gestión y control, aprobará una estructura temporal de la Agencia, bajo las denominaciones que correspondan a la nueva institucionalidad.

Hasta que se designe a la o el Director Ejecutivo de la Agencia, el Ministro de Telecomunicaciones y de la Sociedad de la Información ejercerá dichas competencias.

Séptima.- Los servidores y trabajadores que venían prestando servicios en la Superintendencia de Telecomunicaciones, el Consejo Nacional de Telecomunicaciones y la Secretaría Nacional de Telecomunicaciones pasan a formar parte de la nómina de la Agencia de Regulación y Control de las Telecomunicaciones, conservando sus derechos de conformidad con la ley. En ciento ochenta días hábiles, la Agencia de Regulación y Control de las Telecomunicaciones realizará un proceso de evaluación, racionalización y selección de talento humano y, de ser el caso, suprimirá puestos innecesarios y realizará la acciones necesarias de conformidad con lo dispuesto en la Ley Orgánica de Servicio Público, su Reglamento General y las normas aplicables.

Octava.- Dentro del plazo de hasta ciento ochenta días, contados a partir de la publicación de esta ley en el Registro Oficial las personas naturales poseedoras de títulos habilitantes del servicio de audio y vídeo por suscripción, podrán constituirse en una compañía mercantil la cual, previa autorización de la Agencia de Regulación y Control de las Telecomunicaciones, pasará a ser titular de dicha habilitación en los términos y plazos previstos en el título original a nombre de la persona natural, para tales efectos, la Agencia elaborará el reglamento respectivo.

Novena.- Las empresas operadoras CONECEL S.A. y OTECEL S.A., dentro del plazo de noventa días contados a partir de la fecha de publicación de la presente Ley en el Registro Oficial, teniendo como antecedente las resoluciones emitidas por la extinguida Superintendencia de Telecomunicaciones relacionadas con las sanciones impuestas por “cobrar a sus abonados por la prestación del servicio de telefonía móvil celular, tarifas con facturación redondeada al minuto inmediatamente superior, esto es, por el tiempo no utilizado realmente por los usuarios” y frente a la imposibilidad de devolver a pedido de cada abonado lo cobrado indebidamente, deberán transferir dichos valores más los intereses legales a la Agencia de Regulación y Control de las Telecomunicaciones, a fin de que los mismos ingresen al Presupuesto General del Estado.

La Agencia de Regulación y Control de las Telecomunicaciones arbitrará las medidas que sean necesarias a fin de que la presente disposición se cumpla sin dilaciones.

DISPOSICIONES DEROGATORIAS

Primera.- Se deroga la Ley Especial de Telecomunicaciones y todas sus reformas y el Reglamento General a la Ley Especial de Telecomunicaciones Reformada, la Ley de Radiodifusión y Televisión y su Reglamento General, así como las disposiciones contenidas en reglamentos, ordenanzas y demás normas que se opongan a la presente Ley.

Segunda.- Se deroga el Mandato Constituyente nº 10, publicado en el Suplemento del Registro Oficial 348, de 29 de mayo de 2008, y la Ley Orgánica Reformatoria al Mandato Constituyente nº 10, publicada en el Suplemento del Registro Oficial nº 37, de 30 de septiembre de 2009.

DISPOSICIONES FINALES

Primera.- Se suprime la Superintendencia de Telecomunicaciones, el Consejo Nacional de Telecomunicaciones (CONATEL) y la Secretaría Nacional  de Telecomunicaciones. Las partidas presupuestarias, los bienes muebles e inmuebles, activos y pasivos, así como los derechos y obligaciones derivados de contratos, convenios e instrumentos nacionales e internacionales correspondientes a dichas entidades, pasan a la Agencia de Regulación y Control de las Telecomunicaciones.

Los derechos y obligaciones derivados de contratos, convenios e instrumentos nacionales e internacionales relacionados con la planificación del uso del espectro radioeléctrico, así como la elaboración del Plan Nacional de Frecuencias, son asumidos por la Agencia de Regulación y Control de las Telecomunicaciones.

Segunda.- El Superintendente de Telecomunicaciones y la o el Secretario Nacional de Telecomunicaciones, en aplicación de lo dispuesto en la Disposición Final Primera, cesarán en funciones a partir de la publicación de la presente Ley en el Registro Oficial; en tal razón, se declara concluido el período para el cual fueron designados.

Tercera.- La representación del Estado ecuatoriano ante la Unión Internacional de Telecomunicaciones (UIT) es asumida por el Ministerio rector de las Telecomunicaciones y de la Sociedad de la Información, la que contará con el asesoramiento técnico–regulatorio de la Agencia de Regulación y Control de las Telecomunicaciones, a cuyo efecto se realizarán las coordinaciones pertinentes.

Cuarta.- La Agencia de Regulación y Control de las Telecomunicaciones ejercerá las funciones de regulación, control y administración atribuidas al Consejo Nacional de Telecomunicaciones, Superintendencia de Telecomunicaciones y Secretaría Nacional de Telecomunicaciones en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, su Reglamento General y demás normativa.

Quinta.- La presente Ley entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado y suscrito en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha, a los diez días del mes de febrero de dos mil quince.

GABRIELA RIVADENEIRA BURBANO, Presidenta.

DRA. LIBIA RIVAS ORDÓÑEZ, Secretaria General.