Archivos de la etiqueta: Protección de Datos Personales

30Oct/24
Proyecto de Ley

Anteproyecto de Ley Orgánica de 4 de junio de 2024 para la protección de las personas menores de edad en los entornos digitales

Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales

EXPOSICIÓN DE MOTIVOS

I.

El desarrollo de la tecnología es una constante en nuestra sociedad que genera importantes transformaciones con consecuencias en diversos ámbitos de nuestra vida. Especialmente relevante es el efecto de la digitalización en el desarrollo personal y social de las personas menores de edad, razón por la que deviene crucial contar con herramientas y mecanismos de protección y garantía de sus derechos en los entornos digitales.

La accesibilidad y la globalización de los entornos digitales permiten que las personas menores de edad utilicen estos medios para el ejercicio de derechos fundamentales, como son el derecho de información y la libertad de expresión, y para su participación política, social y cultural en los ámbitos local, nacional e incluso internacional.

Junto con los beneficios de los procesos de digitalización y de universalización del acceso a los entornos digitales conviene señalar los riesgos y perjuicios que se pueden derivar de un uso inadecuado de los mismos. El entorno digital puede incluir mensajes y contenidos de estereotipos de género, discriminatorios o violentos, así como información no veraz o sobre hábitos de conducta o consumo poco saludables, ilegales o dañinos. Esta información está al alcance de niñas, niños y adolescentes a través de múltiples fuentes.

Entre los riesgos y perjuicios asociados con un uso inadecuado de medios y dispositivos digitales cabe destacar la aparición de problemas de salud, tanto físicos, psicológicos como emocionales, dificultades de interacción social o problemas en el desarrollo cognitivo. No obstante, además de estos riesgos sobre la salud, existen otros relacionados con el uso de datos y la privacidad de las personas menores de edad, la progresiva insensibilización ante actos de violencia, el ciberacoso y el aumento de casos de explotación y abusos de menores.

El acceso a contenido inapropiado puede producir múltiples consecuencias en la infancia y adolescencia, tantas como variedades de contenido inapropiado se puedan considerar. En concreto tal y como se desprende de la iniciativa Internet Segura para Niños (is4k.es) del Instituto Nacional de Ciberseguridad (INCIBE) entre los daños potenciales para las personas menores destacan los siguientes:

• Daños psicológicos y emocionales. El menor posee una madurez y una autoestima en desarrollo, por lo que es más vulnerable a nivel emocional si tropieza con información que no es capaz de asumir o frente a la que no sabe cómo reaccionar, como por ejemplo contenido pornográfico o violento. Estos les pueden resultar demasiado complejos e incluso perturbadores.

• Desinformación, manipulación y construcción de falsas creencias. Los contenidos falsos y sin rigor pueden confundir a los menores y son especialmente peligrosos cuando tratan temáticas relacionadas con la salud y la seguridad.

• Establecimiento de conductas peligrosas o socialmente inapropiadas. Los menores pueden asumir determinados contenidos como ciertos y positivos, y adoptarlos en forma de conductas o valores dañinos: sexismo, machismo, homofobia, racismo, etc.

• Daños para la salud física. Algunos contenidos tienen como objetivo la promoción de desórdenes alimenticios (anorexia y bulimia), conductas de autolesión o consumo de drogas. Otros pueden animar a los menores a realizar actividades potencialmente peligrosas para su salud, como algunos vídeos o cadenas virales.

• Inclusión en grupos y colectivos dañinos. Acceder a determinados contenidos puede acercar al menor a colectivos extremistas, violentos o racistas, así como a sectas de carácter ideológico o religioso, grupos políticos radicales, etc. El factor emocional es importante a la hora de hacer frente a esta información que puede ser perjudicial o malintencionada, dado que una baja autoestima, o aquella que esté aún en desarrollo, aumenta la vulnerabilidad del menor.

• Adicciones. El acceso a contenidos inapropiados sobre drogas, sexo y juegos de azar puede favorecer trastornos de adicción, dado que los menores pueden no tener suficiente capacidad crítica para gestionar los riesgos asociados a este tipo de actividades.

• Gastos económicos. Los fraudes o intentos de engaño destinados a estafar a los usuarios para hacerse con su dinero o sus datos pueden acarrear pérdidas económicas directas, como ocurre por ejemplo con las suscripciones de SMS Premium. Además, los menores son más vulnerables a la hora de interpretar y gestionar la publicidad excesiva a la que están expuestos en Internet ya que puede generar en ellos la necesidad de consumir impulsivamente, como sucede con las compras en juegos y aplicaciones. Asimismo, no siempre el contenido de los anuncios es, en sí mismo, adecuado para ellos.

En esta línea, se hace necesario avanzar en la protección de la infancia, la adolescencia y la juventud para generar un entorno digital cada vez más seguro, dirigido a garantizar su desarrollo integral, evitando los riesgos y peligros que vienen señalándose tanto desde ámbitos científicos y educativos como desde las propias entidades y asociaciones de protección a la infancia y la juventud. Igualmente, es preciso fomentar la formación digital al fin de enseñar a niños, niñas y jóvenes a ser usuarios conscientes y seguros de la tecnología, así como, de los aspectos psicológicos teniendo en cuenta el impacto emocional y cognitivo de las experiencias en línea.

España tiene un compromiso con los derechos de la infancia y la adolescencia, como así lo atestigua la ratificación de diferentes acuerdos internacionales de Derechos Humanos, entre los que destaca la Convención sobre los Derechos del Niño, así como las políticas de promoción de estos derechos y lucha contra las violencias contra la infancia. Teniendo en cuenta que los entornos digitales son hoy uno más entre los diferentes ámbitos en los que se desarrolla la vida en sociedad, resulta necesaria esta norma que viene a regular y garantizar el disfrute de derechos de la infancia en estos entornos. Esta norma emana por tanto del artículo 20.4 de la Constitución Española que reconoce una especial protección al ámbito de la juventud y de la infancia, así como del artículo 39 que recoge el derecho a la protección integral de la infancia. También suponen antecedentes de la norma los artículos 33, 45 y 46 de la Ley Orgánica 8/2021, de 4 de junio, de Protección Integral a la Infancia y la Adolescencia Frente a la Violencia, entre otros. Ante la realidad de las oportunidades y riesgos que suponen los entornos digitales, corresponde al Estado poner en marcha medidas que aseguren el disfrute y promoción de los derechos de la infancia y la adolescencia en este ámbito.

Desde el ámbito europeo también se han impulsado medidas y propuestas para la regulación de los entornos digitales en lo que respecta a los menores de edad. La Estrategia para los Derechos de la Infancia 2021-2024 llamó la atención sobre esta cuestión, siendo la sociedad digital y de la información una de las seis áreas temáticas que la conforman. En ella, además de señalar su enorme potencial en el ámbito educativo o para la reducción de determinadas brechas sociales, se apunta a la necesidad de adoptar medidas ante los riesgos que puede acarrear el mundo digital en áreas como el ciberacoso o la incitación al odio, además de la necesidad de introducir regulación para evitar los problemas de salud que pueden derivar de una exposición excesiva a las pantallas. La Estrategia europea en favor de una Internet más adecuada para los niños apuntaba en la misma dirección sobre la que ya han regulado o se encuentran en procesos regulatorios diferentes países de nuestro entorno.

Esta norma responde también a los diferentes indicadores tanto de las instituciones supranacionales como de diferentes actores relevantes de la sociedad civil que sitúan algunas de las problemáticas derivadas de la exposición de la infancia y la adolescencia a los entornos digitales, de forma desregulada, como un problema de salud pública. Esta regulación por tanto garantiza el derecho de la infancia a crecer sin que su desarrollo se vea condicionado por la exposición a las pantallas, así como a poder hacer uso de los entornos digitales de una forma positiva, ya sea en el ámbito de la educación o como espacio de interacción social o acceso a la cultura y el ocio.

Junto a ello, y ante la necesidad de avanzar en la protección de la infancia y la adolescencia en los ámbitos digitales, el Gobierno constituyó mediante Acuerdo del Consejo de Ministros de 30 de enero de 2024 un Comité de personas expertas para el desarrollo de un entorno digital seguro para la juventud y la infancia. Este Comité, formado por representantes de la sociedad civil, representantes de diferentes instituciones, personas académicas especializadas en diferentes elementos ligados a esta problemática, y representantes de los propios organismos de participación infantil y de la adolescencia, así como entidades responsables de la promoción de sus derechos, ha venido trabajando sobre los entornos digitales con una mirada multidisciplinar e interseccional con el fin de realizar un informe que analice buenas prácticas y elabore recomendaciones, medidas y actuaciones para una hoja de ruta con el objetico de generar un entorno digital seguro, que contribuya a la mejor protección del desarrollo integral de la infancia y la adolescencia.

La norma se inspira, además, en los trabajos que se han venido realizando en diferentes espacios para abordar los elementos que encuentran su reflejo en la norma que, dada la complejidad de la problemática, los integra desde diferentes perspectivas. Así, se aúnan propuestas que atañen al sector digital, a los proveedores de servicios en este ámbito, y también al desarrollo de políticas en los ámbitos de la educación, la sanidad, o las políticas de protección de las personas consumidoras.

En ese sentido, la generación de espacios seguros en el ámbito digital para la infancia y adolescencia no puede hacerse de espaldas a esa parte de la población. Así, la norma dota de un papel activo a la infancia y adolescencia, reconocidas como sujetos de derechos que, a través de herramientas que se generan como la Estrategia Nacional sobre la Protección de la Infancia en el Entorno Digital podrán participar en el propio diseño, monitoreo y evaluación de las políticas públicas derivadas de la implementación de esta ley que les atañen de forma directa. En definitiva, lo que viene a delimitarse a través de la ley es el derecho a la protección ante los contenidos digitales que puedan resultar dañinos para su desarrollo y su derecho a poder tomar decisiones al respecto de los mismos, recibiendo información de forma adecuada para su edad. Estos derechos de la infancia y la adolescencia se desarrollan mediante las medidas y políticas descritas en el articulado de la ley, así como de las diferentes obligaciones que derivan de ellos para la administración y el sector privado, que desempeña un papel fundamental en este ámbito. La regulación genera así el marco necesario para el desarrollo de los compromisos adquiridos por España en materia de derechos de las personas menores de edad ante el papel creciente que juegan los entornos digitales como un plano más en el que se desarrolla la sociedad.

II

El título preliminar, “Disposiciones generales”, constituye el marco básico de referencia para garantizar el respeto y disfrute en igualdad de todas las niñas, niños y adolescentes en los entornos digitales, fomentando la participación activa de este colectivo y superando las barreras de la discriminación.

El principal objetivo de la ley es ofrecer entornos digitales seguros para la infancia y la adolescencia, con plena protección de sus derechos y libertades, a la vez que se fomenta un uso adecuado y respetuoso de las nuevas tecnologías.

De acuerdo con lo anterior, el artículo 2 reconoce los derechos de las personas menores de edad en este tipo de entornos, entre ellos los derechos a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo, a recibir información suficiente y necesaria en una forma y lenguaje apropiado según la edad sobre el uso de las tecnologías y de los riesgos asociados al mismo, así como al acceso equitativo y efectivo a dispositivos, conexión y formación para el uso de herramientas digitales.

Con ello se completa el marco previamente definido por la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil; la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, cuyo título III, capítulo VIII, se dedica a las nuevas tecnologías, fomentando la colaboración público-privada en aras de garantizar el uso seguro y responsable de internet y las tecnologías de la información y la comunicación entre las personas menores de edad; y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que contempla la necesidad de otorgar una protección real a las personas menores de edad en internet, a cuyo fin obliga a los padres, madres, tutores, curadores o representantes legales a procurar que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información al objeto de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales (artículo 84); obliga a los centros educativos y a cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad a garantizar la protección del interés superior del menor y sus derechos fundamentales, y especialmente el derecho a la protección de sus datos personales en internet (artículo 92); y prevé la aprobación de un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales (artículo 97.2).

En esta misma línea, el artículo 3 recoge los fines que pretende lograr la norma de garantizar el respeto y cumplimiento de los derechos de las niñas, niños y adolescentes en el entorno digital, especialmente los derechos a la intimidad, al honor y a la propia imagen, así como el interés superior del menor en el desarrollo de los productos y servicios digitales, y fomentar un uso equilibrado y responsable de los entornos digitales, apoyar el desarrollo de las competencias digitales de la infancia en el entorno digital para hacer de éste un lugar seguro, entre otros.

Las medidas que se recogen en la ley se despliegan desde una perspectiva amplia y multidisciplinar, alcanzando una protección integral de las personas menores de edad en el uso de dispositivos y medios digitales con una perspectiva preventiva, de atención e inclusión, con el fin de ofrecer a través de los canales adecuados herramientas que permitan anticiparse al desarrollo de problemas más graves, y fomentar entornos sin discriminación.

III

El entorno digital pone a disposición de la sociedad, en su conjunto, numerosas ventajas y beneficios, pero su uso ha de ser especialmente adecuado cuando los principales destinatarios de las nuevas tecnologías digitales son los menores, que cada vez se enfrentan a mayores riesgos derivados de un consumo perjudicial.

Es por ello que la presente ley contempla varias medidas en materia de protección de las personas menores de edad como consumidores y usuarios, que se recogen en el título I y también en la disposición final cuarta, que modifica de manera expresa el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.

Respecto de las medidas recogidas en el capítulo I del título II, el artículo 4 establece dos nuevas obligaciones dirigidas a los fabricantes de los dispositivos digitales con conexión a internet a través de los cuales las personas menores de edad puedan acceder a contenidos perjudiciales para su desarrollo, que se encuentran en línea con lo previsto en el artículo 46, apartados 3 y 4, de la Ley Orgánica 8/2021, de 4 de junio: una obligación de información en sus productos de los posibles riesgos derivados de un uso inadecuado, entre otros aspectos, y la obligación de que los dispositivos digitales que fabriquen incluyan una funcionalidad de control parental de servicios, aplicaciones y contenidos, que debe ser gratuita para el usuario.

Como situación más específica, entre los consumos con un potencial perjudicial cabe mencionar los mecanismos aleatorios de recompensa (cajas botín o “lootboxes”), que forman parte de algunos videojuegos y que, sin el debido control de acceso en su activación, pueden suponer un riesgo para las personas vulnerables, en especial las más jóvenes a quienes van dirigidas y son los principales consumidores de este tipo de productos y servicios.

Los mecanismos aleatorios de recompensa son objetos o procesos virtuales de cualquier tipo cuya activación ofrece la oportunidad al jugador de obtener, con carácter aleatorio, recompensas o premios virtuales que pueden utilizarse en esos entornos digitales.

Como ha puesto de manifiesto la literatura científica, la evidente identidad funcional de algunas de las modalidades bajo las que se presentan estos mecanismos aleatorios de recompensa con los juegos de azar tradicionales trae consigo, también, las consecuencias negativas asociadas con estos últimos, como pueden ser es el surgimiento de conductas de consumo irreflexivas, compulsivas y, en última instancia, patológicas. Todo ello con base en la mecánica de activación psicológica susceptible de desencadenarse al participar en esta actividad, lo que es causa de graves repercusiones económicas, patrimoniales y afectivas, tanto en las personas que las padecen como en su entorno personal, social y familiar.

En el caso de los menores, es probable que el contacto con estos mecanismos aleatorios de recompensa constituya su primer encuentro con un producto o funcionalidad en cuya mecánica de funcionamiento el azar tenga un papel preponderante y que guarda la citada similitud, tanto desde el punto de vista estructural como de las técnicas de marketing utilizadas para su comercialización, con ciertas modalidades propias del juego regulado.

Por lo expuesto, el artículo 5 dispone una prohibición general de acceso a los mecanismos aleatorios de recompensa o su activación por personas que sean menores de edad, si bien reglamentariamente se podrán establecer supuestos en los que se determinen excepciones en las que se flexibilice la prohibición, siempre que se garantice la protección a la infancia.

Se aclara que la prohibición señalada y la consiguiente obligación de establecer un sistema de verificación de edad con carácter previo al acceso a este tipo de productos y funcionalidades no opera de manera general, sino que resulta de aplicación solo a los mecanismos aleatorios de recompensa que presentan un conjunto de caracteres que los hacen asimilables en mayor grado a ciertos productos de juegos de azar. En consecuencia, no todos los procesos, funcionalidades o productos asociados a los productos de software interactivo de ocio que integren como elemento esencial de su configuración estructural el azar son objeto de la presente regulación. Además del pago de un precio por la activación y de la presencia del elemento del azar, la ley incluye bajo su ámbito de aplicación únicamente aquellos mecanismos aleatorios que otorguen recompensas que consistan en un objeto virtual que pueda ser canjeado por dinero o por otros objetos virtuales.

En coherencia con las medidas contempladas en el título I, la disposición final cuarta modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, con el fin de incorporar la protección de las personas menores de edad, como personas consumidoras vulnerables, en relación con los bienes o servicios digitales. Además, se incide en la obligación por la parte empresarial de asegurarse de la mayoría de edad del consumidor y usuario con carácter previo a la contratación de bienes o servicios propios o ajenos o, internos o externos, destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad; y se tipifica el incumplimiento por parte del empresario de dicha obligación de verificación y comprobación de edad como infracción leve en materia de defensa de los consumidores y usuarios. Finalmente, se incorporan como requisitos objetivos de conformidad las obligaciones de información y de incorporación de una funcionalidad de control parental que el artículo 4 impone a los fabricantes de dispositivos digitales con conexión a internet.

IV

El título II, compuesto por los artículos 6 y 7, incorpora las medidas dirigidas al ámbito educativo.

La vigente legislación educativa promueve el uso de las nuevas tecnologías en la enseñanza, contribuye a la mejora de las capacidades digitales del alumnado y asume la necesidad de que la digitalización del ámbito educativo venga acompañada por la inclusividad económica, social y de género en el acceso a las tecnologías, y de un uso de los medios digitales seguro y respetuoso con los valores y derechos constitucionales.

La creciente preocupación por evitar los riesgos de una utilización inadecuada de las tecnologías de la información y de la comunicación y el debate social surgido en torno a estas situaciones ha contado con la atención de las Administraciones educativas. Así, en 2024, el Ministerio y las Comunidades Autónomas compartieron puntos de vista sobre las formas de abordar estas cuestiones y el Consejo Escolar del Estado aprobó una propuesta para regular el uso del móvil en los centros educativos durante el horario lectivo. Se trata de una serie de recomendaciones y conclusiones como el uso cero de los móviles tanto en educación infantil como en educación primaria, y que estos dispositivos permanezcan apagados durante todo el horario escolar en educación secundaria, pudiendo utilizarse en el caso de que el docente lo considere necesario para una actividad educativa concreta. En todo caso, se contemplan excepciones por motivos de salud, seguridad o necesidades especiales.

En su tratamiento de los problemas detectados, el artículo 6 de la presente ley responde a la necesidad de mejorar la formación en esta materia tanto de los alumnos como del personal docente.

Por una parte, se dispone el fomento de actuaciones de mejora de las competencias digitales del alumnado, con el fin de garantizar su plena inserción en la sociedad digital y el aprendizaje de un uso seguro, sostenible, crítico y responsable de las tecnologías digitales para el aprendizaje, el trabajo y la participación en la sociedad, así como la interacción con estas. Estas previsiones están en línea con los principios pedagógicos que desarrolla la Ley Orgánica 2/2006, de 3 de mayo, de Educación, uno de los cuales es precisamente el desarrollo transversal de la competencia digital, y se vinculan también con el artículo 5 de la Ley Orgánica 1/1996, de 15 de enero, en relación con el derecho a la información, y el artículo 33 de la Ley Orgánica 8/2021, de 4 de junio, sobre formación en materia de derechos, seguridad y responsabilidad digital.

Por otra parte, se reconoce el papel fundamental del profesorado en el proceso de adquisición de las competencias digitales por parte del alumnado y en la detección de riesgos, y por ello se dispone que la planificación de la formación continua del profesorado incorpore actividades formativas que faciliten a los docentes estrategias para el tratamiento, entre otros aspectos, de la seguridad y de los elementos relacionados con la ciudadanía digital, la privacidad y la propiedad intelectual, tomando para ello como referencia las áreas y competencias establecidas en el Marco de Referencia de la Competencia Digital Docente y la regulación existente en materia de protección integral a la infancia y la adolescencia frente a la violencia, protección de datos personales y garantía de los derechos digitales.

Finalmente, de manera más específica a propósito del problema antes apuntado, el artículo 7 establece que los centros educativos, de acuerdo con las disposiciones que al efecto hayan aprobado las administraciones educativas, regulen como parte de sus normas de funcionamiento y convivencia el uso de dispositivos móviles y digitales en las aulas, en las actividades extraescolares y en lugares y tiempos de descanso que tengan lugar bajo su supervisión.

V

El capítulo III del título II aborda las medidas de carácter sanitario a adoptar por las Administraciones públicas.

El impacto en la salud de los niños, niñas y adolescentes por el uso inadecuado de las tecnologías y entornos digitales constituye un motivo creciente de preocupación para las familias, educadores y profesionales de la salud. Aunque existen numerosos estudios, sus resultados son a veces contradictorios o poco concluyentes. No obstante, existen evidencias de que pasar un tiempo excesivo frente a las pantallas y la exposición a contenidos inapropiados pueden afectar la salud mental y aumentar el riesgo de ansiedad, depresión, adicción, problemas de autoestima, trastornos del sueño, problemas en el desarrollo del lenguaje y habilidades sociales, así como en la capacidad de concentración y resolución de problemas.

También se ha encontrado evidencia de que las personas adolescentes con alta exposición a medios y entornos digitales podrían tener más probabilidad de desarrollar síntomas de trastorno por déficit de atención e hiperactividad. Además, los niños y niñas pueden exponerse a discursos de odio, violencia y contenidos que incitan a la autolesión o al suicidio, o que tienen un impacto negativo en su bienestar emocional y psicológico.

Por otra parte, el tiempo excesivo frente a las pantallas contribuye a un estilo de vida sedentario y por tanto a sufrir trastornos musculoesqueléticos, obesidad infantil y a los problemas derivados de la misma, como las enfermedades cardiovasculares y endocrinas. Además, la exposición a pantallas puede afectar a la salud visual y originar problemas de visión borrosa, ojos secos y dolores de cabeza.

Se hace necesario, por tanto, establecer medidas sanitarias para la prevención de los problemas de salud derivados del uso inadecuado de las tecnologías y entornos digitales y promocionar hábitos de uso saludables.

Para ello, el articulo 8 promueve que, con base en el principio de salud en todas las políticas, se incorpore la dimensión sanitaria en los estudios que se promuevan por las Administraciones públicas sobre el uso de estas tecnologías y entornos digitales por las personas menores, con el objetivo de aumentar el conocimiento sobre los efectos en la salud y general evidencia científica. Además, incorpora actuaciones individuales y comunitarias en los programas de prevención y promoción de la salud infantil y adolescente que se desarrollan desde la atención primaria, para la detección precoz de los problemas específicos relacionados con las tecnologías y entornos digitales, así como el establecimiento de programas coordinados con otras administraciones públicas, para el abordaje integral, tratamiento y rehabilitación, con una perspectiva biopsicosocial.

Por otra parte, el artículo 9, promueve la atención sanitaria especializada para personas menores con conductas adictivas sin sustancia.

VI

Las medidas en el sector público, reguladas en el título IV, se fundamentan en la obligación de los poderes públicos de promover las condiciones de libertad e igualdad de las personas, tanto individualmente como en los grupos en los que se integran, para que sean reales y efectivas, suprimiendo los obstáculos que dificulten su plenitud y facilitando la participación ciudadana en la esfera social, política, cultural y económica, tal y como recoge el artículo 9.2 de la Constitución Española. Asimismo, en virtud del artículo 11 de la Ley Orgánica 1/1996, de 15 de enero, las Administraciones Públicas deberán tener en cuenta las necesidades de los menores al ejercer sus competencias especialmente, entre otros, en relación con las nuevas tecnologías.

A través de las medidas de participación, información y sensibilización previstas en el artículo 10, en línea con lo previsto en la Ley Orgánica 8/2021, de 4 de junio, se incide en la necesidad de incorporar acciones proactivas y eficaces en relación con la información y formación sobre entornos digitales seguros, dirigidas a personas menores de edad y a sus familias, garantizando el ejercicio efectivo del derecho de participación en los planes, programas y políticas que afecten a la infancia y la juventud.

El artículo 11 dispone el fomento de la colaboración público-privada y la corregulación, de forma que los proveedores del servicio de acceso a internet desde una ubicación fija aprueben un código de conducta que establezca los mecanismos y parámetros de configuración segura que se comprometen a aplicar en la prestación de sus servicios en lugares de acceso público en los que se presten servicios públicos, para evitar el acceso a contenidos inadecuados por parte de las personas menores de edad.

El artículo 12 recoge la obligación del Gobierno, en colaboración con las comunidades autónomas, las ciudades de Ceuta y Melilla y las entidades locales, de elaborar una Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital, en la que participarán el Observatorio de la Infancia, las entidades del tercer sector, la sociedad civil, y, de forma muy especial, con las niñas, niños y adolescentes. Esta Estrategia, que deberá definirse en consonancia con la Estrategia Estatal de los Derechos de la Infancia y de la Adolescencia, perseguirá la alfabetización digital y mediática, la difusión de información a las familias, y personas que habitualmente estén en contacto con menores, el uso seguro de dispositivos, la investigación y la creación de espacios de interacción y colaboración sobre cultura digital.

VII

La protección de los menores en los entornos digitales puede requerir como último recurso la interrupción de un servicio de la sociedad de la información que ofrezca acceso sin límites a contenido que perjudica gravemente al desarrollo físico, mental y moral de los menores. De modo general, el artículo 8.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, permite que los órganos competentes para su protección puedan adoptar las medidas necesarias para interrumpir la prestación de un servicio de la sociedad de la información o retirar los datos que este ofrezca cuando ello atente o pueda atentar contra los bienes jurídicos que expresa, entre los cuales se encuentra, enunciado en su párrafo d), la protección de la juventud y de la infancia.

Dado que estas medidas restrictivas pueden llegar a afectar a derechos fundamentales como la libertad de expresión o el derecho de información, que gozan de protección constitucional, una orden para la interrupción de un servicio o la retirada de contenido debe contar con la correspondiente autorización judicial.

La Sentencia del Tribunal Supremo núm.1231/2022, de 3 de octubre, ha advertido sin embargo al legislador sobre la existencia de una laguna a este respecto en nuestra legislación procesal, donde solo se prevé un procedimiento para solicitar la autorización judicial de la medida cuando se trate de la salvaguarda de los derechos de propiedad intelectual y así lo solicite la Sección Segunda de la Comisión de Propiedad Intelectual, con omisión del resto de supuestos previstos el artículo 8.1 de la Ley 34/2002, de 11 de julio, incluida la protección de la juventud y de la infancia, que habilitan a las autoridades competentes por razón de la materia para adoptar, con autorización judicial, de este tipo de medidas. Esta misma laguna se observa respecto de los actos adoptados para la limitación del acceso a un servicio intermediario previstos en el artículo 51.3.b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

A fin de colmar esta laguna legal, las disposiciones finales primera y tercera de esta ley modifican respectivamente la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Concretamente, se modifican el artículo 90 de la Ley Orgánica 6/1985, de 1 de julio, y el artículo 9.2 de la Ley 29/1998, de 13 de julio, a fin de atribuir a los Juzgados Centrales de lo Contencioso-Administrativo la competencia para autorizar la ejecución de los actos adoptados por los órganos administrativos competentes en la materia para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos que vulneren cualquiera de los bienes jurídicos enumerados en el artículo 8 de la Ley 34/2002, de 11 de julio, no solo la propiedad intelectual, así como para la ejecución de los adoptados para la interrupción del acceso a un intermediario por un coordinador de servicios digitales con base en el artículo 51.3.b) del Reglamento de Servicios Digitales, o con arreglo al artículo 89.1.e) de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en los términos que se indicarán a continuación.

Asimismo, se modifica el artículo 122 bis de la Ley 29/1998, de 13 de julio, con objeto de que el procedimiento de autorización judicial para la ejecución de estas medidas se generalice para todos los bienes jurídicos protegidos, no solo para salvaguardar la propiedad intelectual.

En lo relativo a la protección de menores en entornos digitales, la habilitación a los Juzgados Centrales de lo Contencioso-Administrativo para autorizar estas medidas permitirá que todas las autoridades competentes en la materia puedan solicitar la autorización judicial para la interrupción de servicios o retirada de contenidos que atenten contra la protección de la juventud y la infancia. Entre otros supuestos, esto permitiría a la Comisión Nacional de los Mercados y la Competencia solicitar la autorización de una orden de cese de actividad a una plataforma de intercambio de vídeos con contenido para adultos que no incluya mecanismos de verificación de edad que limiten el acceso a menores y que estén alineados con las especificaciones técnicas que sirvan de base para la implementación de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital

VIII

La disminución del riesgo asociado al uso de las tecnologías digitales por los menores hace necesaria también la reforma del Código Penal, que se lleva a cabo en la disposición final segunda.

Algunos delitos tecnológicos dirigidos a la protección de las personas menores de edad han sido recogidos por las últimas reformas del Código Penal, fundamentalmente la producida por la disposición final sexta de la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, donde por primera vez se habla de violencia digital. Con esta reforma se han castigado conductas de distribución o difusión pública a través de Internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación de contenidos específicamente destinados a promover, fomentar o incitar al suicidio, las autolesiones o conductas relacionadas con trastornos alimenticios o a las agresiones sexuales a menores. También en diferentes preceptos del Código Penal se recoge expresamente el bloqueo o la retirada de las páginas web, portales o aplicaciones de internet que contengan o difundan pornografía infantil, que fomenten el odio a colectivos o que enaltezcan o que justifiquen el terrorismo (artículos 189.8, 510.6 y 578.4 del Código Penal); y, del mismo modo la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, incorporó a este texto legal los artículos 588 bis a y siguientes relativos a la investigación de los delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicios de comunicación.

Sin embargo, existen otras situaciones directamente relacionadas con el acceso seguro de los menores a internet, que tienen que ver no solo con la modificación o creación de figuras específicamente destinadas a la tutela de las personas menores, sino también con los problemas que se derivan de una falta de adaptación de la norma vigente a los nuevos avances tecnológicos.

Es por ello necesario introducir algunos cambios en el Código Penal que avancen en su adaptación a las nuevas formas de criminalidad y que, sin olvidar los principios limitadores del ius puniendi del Estado, permitan ejercer una protección eficaz frente a los nuevos delitos tecnológicos.

En línea con este objetivo, se ha estimado conveniente la incorporación de cuatro tipos de modificaciones, que se articulan en la disposición final segunda.

En primer lugar, se incorpora la pena de alejamiento de los entornos virtuales, para un mejor cumplimiento de la prevención general y especial en el ámbito de los delitos tecnológicos. En concreto, se modifican los artículos 33, 39, 40, 45, 48, 56, 70 y 83 del Código Penal para incorporar la pena de prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, cuando el delito se comete en su seno.

De este modo, se vincula el contenido de la pena a la naturaleza del delito, y se establece una mayor protección de las víctimas, evitando la reiteración de conductas punibles.

La necesidad se constata además si se atiende a la Sentencia del Tribunal Supremo, núm. 547/2022 de 2 junio, que acoge como posible la imposición de la pena de prohibición al acusado de acudir al lugar del delito, siendo este un sitio virtual. El alto tribunal confirma en esta resolución lo que ya se anunciaba doctrinalmente: en los delitos tecnológicos hay que diferenciar el medio comisivo y el lugar de comisión. En este sentido afirma que “(L)a experiencia más reciente enseña que las redes sociales no son sólo el instrumento para la comisión de algunos delitos de muy distinta naturaleza. Pueden ser también el escenario en el que el delito se comete, ya sea durante todo su desarrollo, ya en la ejecución de sólo algunos de los elementos del tipo”.

Ante el gran incremento de la delincuencia virtual, las redes sociales son un lugar donde frecuentemente se cometen delitos o donde se prolonga la ejecución de hechos iniciados o ejecutados parcialmente y la introducción de la pena de prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual da una respuesta eficaz a la creciente criminalidad informática, al evitar la reiteración de la conducta punible en los espacios virtuales y mejorar la protección de las víctimas impidiendo su victimización secundaria. Su incorporación expresa al Código Penal hace que su aplicación se acomode mejor a los principios de legalidad y tipicidad penal, y su previsión se hace también en términos adecuados al principio de proporcionalidad, pues su extensión debe ser concretada caso a caso mediante resolución judicial debidamente motivada que debe permitir al penado el acceso a otras redes o espacios virtuales no directamente relacionados con el delito cometido.

En segundo lugar, se aborda específicamente el tratamiento penal de las denominadas ultrafalsificaciones, esto es imágenes o voces manipuladas tecnológicamente y extremadamente realistas. A tal fin se incorpora un nuevo artículo 173 bis que sanciona a quienes, sin autorización de la persona afectada y con ánimo de menoscabar su integridad moral, difundan, exhiban o cedan su imagen corporal o audio de voz generada, modificada o recreada mediante sistemas automatizados, software, algoritmos, inteligencia artificial o cualquier otra tecnología, de modo que parezca real, simulando situaciones de contenido sexual o gravemente vejatorias.

Además de que las ultrafalsificaciones generalmente se difunden en el ciberespacio, con la potencialidad de permanencia que ello implica, como se ha advertido respecto de los delitos tecnológicos de contenido, se produce un aumento de la lesividad en relación con otras modalidades de ataque por la enorme dificultad de distinguir entre el contenido falso y el real debido a la precisión de las nuevas tecnologías y por el mayor grado de veracidad que mantenemos respecto de materiales audiovisuales sobre materiales escritos.

Técnicamente, se opta por la sanción la difusión de las ultrafalsificaciones de contenido sexual (las llamadas deepfakes pornográficas) o especialmente vejatorio en sede de delitos contra la integridad moral porque, en virtud del principio de consunción, se abarcarían los supuestos de lesión de la integridad moral y también los ataques contra el honor, pues ha de tomarse en cuenta no solo la afectación a la autoestima y la heteroestima, sino también la cosificación e instrumentalización que se produce sobre el sujeto pasivo, generalmente mujeres y niñas, niños y jóvenes que son tratados como objetos de consumo. También hay que recordar que la motivación para llevar a cabo estas acciones no siempre se identifica con el animus iniuriandi, pues el hecho puede deberse a otras razones como el ánimo de lucro, si dichas imágenes se utilizan en páginas o aplicaciones de contenido pornográfico.

En tercer lugar, dado que la ley tiene como objetivo específico tutelar los intereses de los niños, niñas y adolescentes, y existe una gran preocupación en relación con el acceso de los menores a contenidos pornográficos que pueden afectar a su desarrollo en la esfera afectivo sexual, se prevé la modificación del artículo 186 del Código Penal, con la finalidad de mejorar la protección del bien jurídico libertad sexual de los menores.

En su actual redacción, el artículo 186 del Código Penal castiga a quienes “por medios directos”, vendan, exhiban o difundan material pornográfico entre menores y personas con discapacidad necesitadas de especial protección. Tal redacción no protege suficientemente el bien jurídico de intangibilidad sexual de estos colectivos frente a la puesta a disposición indiscriminada de este tipo de material en medios en los que, conocidamente, va a ser accesible a los mismos. En consecuencia, se aborda la reforma de este precepto que tiene una especial repercusión en el ámbito de las personas de menor edad. Con la nueva redacción que se incorpora, se hace posible la punición de supuestos en los que el material pornográfico se pone a disposición de una colectividad indiscriminada de usuarios, de entre los que se tiene la clara representación de que va a haber menores de edad. Para ello, se contempla además un dolo específico reforzado. No basta, para la punición de la conducta, que sea cometida de forma deliberada en cuanto al dato objetivo de la transmisión o difusión del material, sino que tiene que existir la clara conciencia de que entre el público receptor hay menores de edad o personas necesitadas de especial protección, y de que el consumo por parte de estos sujetos de esta clase de material supone una afectación a su proceso de maduración sexual.

En cuarto lugar, en línea con el objetivo indicado, y tomando en consideración la incidencia de los supuestos de enmascaramiento de la propia identidad en este ámbito, también se introducen diferentes tipos agravados en los artículos 181, 182, 183, 185, 186, 188 y 189 que tienen que ver con el uso de identidades falsas a través de la tecnología, que facilitan la comisión de delitos contra las personas menores de edad.

IX

Por otro lado, se modifica también la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales a través de la disposición final quinta para elevar a los 16 años la edad a partir de la cual los menores de edad pueden prestar consentimiento para el tratamiento de sus datos personales.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) prevé que cuando el consentimiento sea la base legal para el tratamiento de datos en servicios de la sociedad de la información, dicho consentimiento podrá ser otorgado por un menor si éste cuenta como mínimo con 16 años de edad; siendo necesario el consentimiento del titular de la patria potestad o tutela sobre el menor para las edades inferiores. Asimismo, permite que los países puedan reducir el límite anterior desde los 16 años hasta un mínimo de 13 años.

Haciendo uso de esta habilitación, la Ley Orgánica 3/2018, de 5 de diciembre, establecía el umbral de los 14 años para el consentimiento de los menores. Sin embrago, la evolución, no sólo de la tecnología digital, sino también de su uso por los menores de edad, ha sido tan exponencial que puede resultar inapropiada su utilización precoz; dada la madurez que requiere el uso de determinados servicios, plataformas, sistemas y contenidos digitales.

Por ello, se considera necesario elevar la edad del consentimiento del menor en materia de protección de datos, armonizando el umbral con el establecido por la mayoría de los países de la Unión Europea, así como con el exigido en el ordenamiento jurídico nacional para los menores de edad en otras actividades o conductas.

X

Finalmente, la presente ley orgánica, a través de su disposición final sexta, incorpora cinco modificaciones de la Ley 13/2022, de 7 de julio.

En primer lugar, con el fin de mejorar la efectividad de los canales de denuncia establecidos por la autoridad audiovisual de supervisión, se modifica el artículo 42.b) a fin de que los prestadores del servicio de comunicación audiovisual y los prestadores del servicio de intercambio de vídeos a través de plataforma incluyan en sus sitios web corporativos un enlace fácilmente reconocible y accesible al sitio web de dicha autoridad.

En segundo lugar, se modifica el artículo 89, relativo a las medidas para la protección de los usuarios y de los menores frente a determinados contenidos audiovisuales, con el fin de reforzar las medidas actualmente establecidas para evitar la exposición de los menores a contenidos inapropiados a su edad. Concretamente, se dispone que la autoridad audiovisual competente comprobará la efectividad de los sistemas de verificación y control de la edad para reducir el acceso de los menores de edad a contenidos audiovisuales dañinos o perjudiciales, que deberán garantizar unos niveles de seguridad y de privacidad, en particular en cuanto a minimización de datos, limitación de la finalidad y protección de datos desde el diseño, como mínimo, equiparables a los de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024.

Asimismo, se impone al prestador el establecimiento por defecto de sistemas de control parental controlados por el usuario final con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores.

En tercer lugar, se modifica el apartado 1 del artículo 94, relativo a las obligaciones de los usuarios de especial relevancia que empleen servicios de intercambio de vídeos a través de plataforma. Estos servicios que, en muchos ámbitos, son agrupados bajo el concepto de «videobloggers», «influencers» o «prescriptores de opinión», gozan de relevancia en el mercado audiovisual desde el punto de vista de la inversión publicitaria y del consumo, especialmente, entre el público más joven.

Actualmente el artículo 94 impone una serie de obligaciones a los usuarios de especial relevancia que se orientan a reducir la exposición de los usuarios de los servicios de intercambio de videos a través de plataforma frente a contenidos dañinos o perjudiciales, y en particular con respecto a las obligaciones de protección de los menores, se les asimilaba a los servicios de comunicación audiovisual a petición.

Desde la aprobación de la Ley 13/2022, de 7 de julio, han aparecido nuevos servicios de intercambio de videos a través de plataforma que ya no pueden ser considerados asimilables a los servicios a petición, ya que los usuarios de especial relevancia ofrecen contenidos audiovisuales en directo, mucho más parecidos a los servicios de comunicación audiovisual lineales. Por ello, a fin de garantizar una protección adecuada de los menores frente a su exposición a contenidos dañinos o perjudiciales se considera oportuno modificar el régimen establecido en el artículo 94.1 y extender a los usuarios de especial relevancia el cumplimiento de las obligaciones para la protección de los menores del contenido perjudicial previstas en los apartados 2 y 3 del artículo 99 en función de que el tipo de servicio que ofrezcan pueda considerarse lineal o a petición.

Asimismo, la reforma tiene por objetivo incrementar la seguridad jurídica pues los cambios introducidos persiguen aclarar, entre otros aspectos, que los usuarios de especial relevancia deben calificar los contenidos que generen y suban a los servicios de intercambio de videos a través de plataforma.

Se modifica también el artículo 93.4 para prever que el incumplimiento de las obligaciones previstas en el artículo 89.1.e) será constitutivo de la infracción tipificada en el artículo 157.8, sin perjuicio de la responsabilidad penal que pueda derivarse de dicha acción. A este respecto, cuando el incumplimiento de las citadas obligaciones atente o pueda atentar contra el principio de protección de juventud e infancia, la Comisión Nacional de los Mercados y la Competencia podrá adoptar las medidas previstas en los artículos 8 y 11 de la Ley 34/2002, de 11 de julio, de conformidad con lo dispuesto en dichos artículos.

Finalmente, se modifica el artículo 160.1.c) con el fin de reforzar las competencias sancionadoras de la Comisión Nacional de los Mercados y la Competencia (CNMC), permitiendo que este organismo pueda imponer como sanción accesoria el cese de la prestación del servicio por parte del prestador del servicio de intercambio de videos a través de plataforma cuando este haya cometido la infracción muy grave prevista en el artículo 157.8, consistente en el incumplimiento de su obligación de establecer y operar sistemas de verificación de edad para los usuarios con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía.

XI

En la elaboración de esta ley orgánica se han observado los principios de buena regulación a que hace referencia el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, esto es, los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

Por relación a los principios de necesidad y eficacia, de lo expuesto en los apartados precedentes se deduce la necesidad de cada una de las medidas que se adoptan, que se estima que contribuirán eficazmente a mejorar la protección de los menores en el entorno digital.

Aunque las medidas de protección de los menores que establece la norma tienen en su mayor parte un contenido positivo, de refuerzo de sus derechos en el ámbito digital, también supone la imposición de algunas obligaciones nuevas, particularmente, para las empresas proveedoras de dispositivos, servicios y contenidos digitales. En virtud del principio de proporcionalidad, se ha procurado que el alcance y contenido de estas obligaciones sea el imprescindible para asegurar la protección de los menores. Este mismo principio de proporcionalidad inspira la configuración de las reformas del Código Penal, según se ha explicado previamente.

La ley atiende asimismo a las exigencias propias de la seguridad jurídica pues, por una parte, procura definir de modo claro las medidas que incorpora, y por otra, algunas de ellas se orientan específicamente a mejorar la precisión, claridad y compleción de nuestra actual legislación.

En virtud del principio de transparencia, en el procedimiento de elaboración de la norma se ha posibilitado la participación de sus potenciales destinatarios. Asimismo, la norma define los objetivos de las medidas que incorpora y tanto su parte expositiva como la memoria del análisis de impacto normativo contienen una explicación de las razones que las justifican. Desde esta misma perspectiva es finalmente reseñable que algunas de las medidas que contiene se orientan específicamente a reforzar la transparencia en este ámbito, y por ello se impone a las Administraciones públicas el deber de promover la consulta y participación de los menores en la adopción de medidas que puedan garantizar sus derechos en el ámbito digital, así como el uso de un lenguaje claro, de forma que las Administraciones públicas y entidades del sector privado empleen un lenguaje accesible para las personas menores de edad en las comunicaciones que se les dirijan y en aquella información a la que tengan acceso.

En aplicación del principio de eficiencia, la ley no incorpora nuevas cargas administrativas y procura la racionalización del gasto público en la medida en que su cumplimiento se afrontará con los recursos que sean indispensables y se promueve la coordinación y colaboración entre las Administraciones públicas en la adopción y ejecución de las medidas que implican a varias de ellas, lo que se entiende que redundará en una aplicación más eficaz y eficiente de los recursos públicos.

TÍTULO PRELIMINAR.- Disposiciones generales

Artículo 1. Objeto.

La presente ley orgánica tiene por objeto establecer medidas con la finalidad de garantizar la protección de las personas menores de edad en los entornos digitales.

Artículo 2. Derechos de las personas menores de edad.

1. Las personas menores de edad tienen derecho a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo.

2. Las personas menores de edad tienen derecho a recibir información suficiente y necesaria en una forma y lenguaje apropiado según la edad sobre el uso de las tecnologías, así como de sus derechos y de los riesgos asociados al entorno digital.

3. Las personas menores de edad tienen derecho al acceso a la información, a la libertad de expresión, y a ser escuchadas.

4. Las personas menores de edad tienen derecho al acceso equitativo y efectivo a dispositivos, conexión y formación para el uso de herramientas digitales.

Artículo 3. Fines.

Las disposiciones de esta ley orgánica persiguen los siguientes fines:

a) Garantizar el respeto y cumplimiento de los derechos de las niñas, niños y adolescentes en el entorno digital, especialmente los derechos a la intimidad, al honor y a la propia imagen, al secreto de las comunicaciones y a la protección de los datos personales y el acceso a contenidos adecuados a la edad.

b) Fomentar un uso equilibrado y responsable de los entornos digitales a fin de garantizar el adecuado desarrollo de la personalidad de las personas menores de edad y de preservar su dignidad y sus derechos fundamentales.

c) Garantizar que los productos y servicios digitales tengan en cuenta, desde su diseño y por defecto, el interés superior del menor.

d) Apoyar el desarrollo de las competencias digitales de la infancia en el entorno digital y la capacidad de evaluar los contenidos en línea y detectar la desinformación y el material abusivo.

e) Promover un entorno digital más seguro y estimular la investigación en este ámbito.

TÍTULO I.- Medidas en el ámbito de la protección de consumidores y usuarios

Artículo 4. Obligaciones de los fabricantes de dispositivos digitales con conexión a internet.

1. Este artículo es aplicable a los dispositivos digitales que tengan la capacidad de conectarse a internet y a través de dicha conexión pueda accederse a contenidos perjudiciales para menores, como es el caso de teléfonos móviles, tabletas electrónicas, televisores inteligentes y ordenadores de uso personal.

2. Los fabricantes de dispositivos digitales referidos en el párrafo anterior proporcionarán información en sus productos en la que se advierta, en un lenguaje accesible, inclusivo y apropiado para todas las edades, de los riesgos derivados del acceso a contenidos perjudiciales para la salud y el desarrollo físico, mental y moral de los menores. De igual modo facilitarán información sobre las medidas de protección de datos y riesgos relacionados con la privacidad y la seguridad; el tiempo recomendado de uso de los productos y servicios, adecuado a la edad de la persona usuaria; los sistemas de control parental; los riesgos sobre el desarrollo cognitivo y emocional y la afección a la calidad del sueño de un uso prolongado de tales servicios. En todo caso se tendrá en cuenta la adaptación del lenguaje y elementos visuales a las necesidades de las personas con discapacidad y de las personas con trastorno de espectro autista

3. Los fabricantes estarán obligados a garantizar que los dispositivos a los que se refiere este artículo incluyan una funcionalidad de control parental de servicios, aplicaciones y contenidos, cuya activación debe producirse por defecto en el momento de la configuración inicial del dispositivo. La inclusión de la funcionalidad, su activación, configuración y actualización serán gratuitas para el usuario.

4. Los fabricantes deberán acreditar ante los importadores, distribuidores y comercializadores que los dispositivos suministrados cumplen los requisitos y condiciones establecidos en los párrafos anteriores. Los importadores, distribuidores y comercializadores deberán desarrollar actuaciones de verificación del cumplimiento de estos requisitos y condiciones.

5. El Ministerio para la Transformación Digital y de la Función Pública ejercerá las funciones de vigilancia, supervisión y control de los requisitos y condiciones establecidos en los párrafos anteriores, para lo cual ejercerá las potestades de inspección y sanción que le atribuye el ordenamiento jurídico.

En concreto, los incumplimientos de lo establecido en el presente artículo serán sancionados, según corresponda, de acuerdo con lo establecido en el título VIII de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones o en el título V de la Ley 21/1992, de 16 de julio, de Industria

Artículo 5. Regulación del acceso y activación de los mecanismos aleatorios de recompensa.

Queda prohibido el acceso a los mecanismos aleatorios de recompensa o su activación por personas que sean menores de edad. A los efectos de lo previsto en este apartado, se entenderá por mecanismo aleatorio de recompensa aquella funcionalidad virtual cuya activación se realiza con dinero de curso legal o a través de un objeto virtual, como un código, clave, in-game currency, criptomoneda u otro elemento, adquirido con dinero directa o indirectamente; en la que el resultado de dicha activación sea incierto y consista en la obtención de un objeto virtual que pueda ser canjeado por dinero o por otros objetos virtuales. En su caso, reglamentariamente podrán determinarse los supuestos excepcionales en los que podrá flexibilizarse dicha prohibición, siempre garantizando el principio de protección a la infancia que inspira esta Ley.

TÍTULO II.- Medidas en el ámbito educativo

Artículo 6. Actividades de formación en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria.

Las Administraciones educativas fomentarán en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria, independientemente de su titularidad, el desarrollo de actividades encaminadas a la mejora de la competencia digital con el fin de garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro, saludable, sostenible, crítico y responsable de las tecnologías digitales para el aprendizaje, el trabajo y la participación en la sociedad, así como la interacción con estas.

Las Administraciones educativas incluirán, en su planificación de la formación continua del profesorado, actividades formativas que faciliten a los docentes estrategias para incidir, entre otros aspectos, en la seguridad (incluido el bienestar digital y las competencias relacionadas con la ciberseguridad) y en asuntos relacionados con la ciudadanía digital, la privacidad y la propiedad intelectual.

Artículo 7. Regulación del uso de dispositivos en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria.

Los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria, independientemente de su titularidad, regularán, de acuerdo con las disposiciones que al efecto hayan aprobado las administraciones educativas y en el marco de lo previsto en el artículo 124 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación, el uso de dispositivos móviles y digitales en las aulas, en las actividades extraescolares y en lugares y tiempos de descanso que tengan lugar bajo su supervisión.

TÍTULO III.- Medidas en el ámbito sanitario

Artículo 8. Prevención y promoción de la salud.

1. Las administraciones públicas que promuevan estudios sobre el uso de las tecnologías de información y comunicación por las personas menores de edad tendrán en cuenta el principio de «salud en todas las políticas», proporcionando la información desagregada por edad, sexo y otros determinantes de la salud. El diseño de estos estudios debe permitir la adquisición de conocimiento que contribuya a la evaluación de los efectos sobre su salud y desarrollo. Así mismo, las administraciones sanitarias elaborarán guías para la prevención y la promoción de la salud en el uso de las tecnologías de información y comunicación por las personas menores de edad.

2. Los programas de prevención y de promoción de la salud infantil y juvenil de las administraciones sanitarias incorporarán actuaciones para la identificación de usos problemáticos de dichas tecnologías y la detección precoz de cambios de conductas o problemas de salud física, psíquica y emocional, derivados de un uso inadecuado. Las actuaciones individuales y comunitarias incluidas en estos programas, incorporarán la perspectiva biopsicosocial y el desarrollo integral de la salud de las personas menores. En la detección precoz de situaciones de riesgo, se pondrá especial atención en identificar aquellas en las que niñas, niños y adolescentes recurran de forma prioritaria al entorno digital para entablar relaciones de pares.

3. Las administraciones sanitarias competentes revisarán las actuaciones de prevención de trastornos adictivos para la inclusión de las adicciones sin sustancia relacionadas con el uso de medios digitales.

4. Se promoverá la coordinación de todas las administraciones públicas y agentes implicados, especialmente de los servicios de atención primaria, atención especializada a la salud mental y a las conductas adictivas, servicios sociales y educativos. En particular, las administraciones sanitarias impulsarán la elaboración conjunta con otras administraciones públicas de programas y circuitos de derivación para el abordaje integral de los problemas de salud detectados, así como mapas de recursos comunitarios y de activos en salud que contribuyan a un desarrollo saludable de las personas menores.

5. Se facilitará la formación y la sensibilización sobre las consecuencias en la salud del uso excesivo de las tecnologías de la información y comunicación, de los y las profesionales de la salud que atienden a esta población.

Artículo 9. Atención especializada.

Las administraciones sanitarias promoverán el establecimiento de procedimientos de atención sanitaria específicos para personas menores con conductas adictivas sin sustancia en la red especializada de atención a la salud mental, tanto en las Unidades de Atención a la Conducta Adictiva, como en los centros de salud mental infantojuveniles.

TÍTULO IV.- Medidas en el sector público

Artículo 10. Participación, información y sensibilización.

1. Las Administraciones públicas promoverán la garantía de los derechos de las personas menores de edad en el ámbito digital desde una perspectiva preventiva e integral, así como de consulta y participación de la infancia y juventud.

Para ello velarán por crear contenidos digitales de calidad destinados a la promoción de hábitos saludables, el buen trato, la igualdad de género, la participación democrática y el acceso a distintos formatos de cultura.

2. Las Administraciones públicas promoverán espacios de interlocución con niños y adolescentes para conocer su experiencia con las tecnologías de la información y comunicación, así como para diseñar de forma participativa iniciativas relativas a la promoción cultural en el entorno digital.

3. Las Administraciones públicas, en el ámbito de sus competencias, desarrollarán campañas y actividades de sensibilización, concienciación, prevención e información sobre los riesgos asociados al uso inadecuado de los entornos y dispositivos digitales, prestando especial atención al consumo de material pornográfico.

4. Las Administraciones públicas, en el ámbito de sus competencias, promoverán la realización de estudios e investigaciones sobre la prevalencia del acoso y la violencia en sus diferentes ámbitos en los entornos digitales.

5. La Administración General del Estado y las Administraciones autonómicas y locales impulsarán la puesta a disposición de la infancia y adolescencia de espacios de encuentro en los que puedan desarrollar actividades de ocio saludable alternativas al uso de tecnologías de la información y comunicación

6. Las Administraciones públicas y entidades del sector privado utilizarán un lenguaje accesible y adaptado en las comunicaciones dirigidas a personas menores de edad y en la información dirigida o a la que tengan acceso personas menores de edad. Se evitará el uso de un lenguaje complejo o confuso, promoviendo una comunicación transparente, comprensible y accesible. En todo caso se tendrá en cuenta la adaptación del lenguaje y elementos visuales a las necesidades de las personas con discapacidad y de las personas con trastorno de espectro autista.

Artículo 11. Fomento de la colaboración público-privada, la corregulación y la estandarización.

El Ministerio para la Transformación Digital y de la Función Pública, en colaboración con los Departamentos competentes, impulsará que los proveedores del servicio de acceso a internet desde una ubicación fija aprueben un código de conducta que establezca los mecanismos y parámetros de configuración segura que se comprometen a aplicar en la prestación de sus servicios en lugares de acceso público en los que se presten servicios públicos y en los que se haga uso de sus servicios de acceso a internet, como escuelas, institutos, bibliotecas, centros cívicos, oficinas públicas, centros sanitarios, entre otros, para evitar el acceso a contenidos inadecuados por parte de las personas menores de edad.

Artículo 12. Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital.

1. El Gobierno en colaboración con las comunidades autónomas, las ciudades de Ceuta y Melilla, y las entidades locales elaborará una Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital, con carácter trianual, con el objetivo de proteger los derechos de la infancia y la adolescencia en el entorno digital. Esta Estrategia se aprobará por el Gobierno.

2. La Estrategia se elaborará en consonancia con la Estrategia Estatal de los Derechos de la Infancia y de la Adolescencia, y contará con la participación del Observatorio de la Infancia, las entidades del tercer sector, la sociedad civil, y, de forma muy especial, con las niñas, niños y adolescentes.

3. Su impulso y coordinación corresponderá al departamento ministerial que tenga atribuidas las competencias en políticas de infancia.

4. En la elaboración de la Estrategia se contará con la participación de niñas, niños y adolescentes a través del Consejo Estatal de Participación de la Infancia y de la Adolescencia.

5. A través de la Estrategia Nacional sobre protección de los derechos de la infancia y la adolescencia en el entorno digital se fomentará:

a) El desarrollo de actividades encaminadas a la educación en ciudadanía digital y alfabetización mediática con el fin de garantizar la plena inserción de la infancia y juventud en la sociedad digital y fomentar el uso responsable de los medios digitales que favorezca el ejercicio efectivo de sus derechos en un entorno digital seguro y respetuoso.

La formación en ciudadanía digital y alfabetización mediática se abordará desde una perspectiva formativa, preventiva y social, bajo los principios de igualdad, accesibilidad, interseccionalidad, respeto, protección y garantía de los derechos de la infancia y de la adolescencia.

b) La difusión de información a las madres, padres o tutores legales, equipo docente y sanitario, sobre la utilización adecuada de los dispositivos digitales y su incidencia en el desarrollo de los niños y niñas, prestando especial atención a la sensibilización sobre el ciberacoso y ciberagresiones, así como a las medidas de control parental.

c) La utilización de dispositivos digitales seguros y medidas de prevención adecuadas en espacios educativos y de formación, especialmente cuando se dirijan a la infancia y juventud.

d) La investigación neurobiológica, especialmente en relación con la infancia y adolescencia y los efectos de la tecnología en el desarrollo cognitivo; la investigación sobre el consumo de la pornografía y su impacto en la infancia y adolescencia; y la investigación sobre las necesidades de la infancia y adolescencia en entornos digitales.

e) La creación de sistemas de aprendizaje cooperativo y de laboratorios públicos de cultura digital.

6. Bienalmente, el órgano al que corresponda el impulso de la Estrategia elaborará un informe de evaluación acerca de su grado de cumplimiento y eficacia. Dicho informe, que deberá ser elevado al Consejo de Ministros, se realizará en colaboración con los Ministerios competentes en la materia.

7. La estrategia se revisará cada tres años teniendo en cuenta la rápida evolución del entorno digital y los avances de la investigación. Para ello, se creará una Comisión de seguimiento en la que participarán los Ministerios de la Presidencia, Justicia y Relaciones con las Cortes; Juventud e Infancia; Sanidad; Educación, Formación Profesional y Deportes; para la Transformación Digital y de la Función Pública; del Interior; y Ciencia, Innovación y Universidades, con la finalidad de impulsar y hacer un seguimiento de la estrategia.

Disposición derogatoria única. Derogación de normas.

Se deroga el artículo 13.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Asimismo quedan derogadas cuantas normas de igual o inferior rango se opongan a lo establecido en la presente ley orgánica.

Disposición final primera. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

Se modifica el apartado 5 del artículo 90 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, que queda redactado en los siguientes términos:

“5. Corresponde también a los Juzgados Centrales de lo Contencioso-Administrativo autorizar, mediante auto, la cesión de los datos que permitan la identificación a que se refiere el artículo 8.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, la ejecución material de las resoluciones adoptadas por el órgano competente para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la citada Ley 34/2002, de 11 de julio, así como la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE.

Asimismo, corresponde a los Juzgados Centrales de lo Contencioso-Administrativo autorizar las actuaciones que deba llevar a cabo la autoridad audiovisual competente, de acuerdo con el artículo 93.4 de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en caso de incumplimiento por parte del proveedor de servicios del uso de una herramienta de verificación de mayoría de edad que, como mínimo, cumpla las especificaciones recogidas en la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024”.

Disposición final segunda. Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en los siguientes términos:

Uno. Se añade un nuevo párrafo l) al artículo 33.2, con el siguiente contenido:

“l) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo superior a cinco años.”

Dos. Se añade un nuevo párrafo m) al artículo 33.3, con el siguiente contenido:

“m) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo de seis meses a cinco años.”

Tres. Se añade un nuevo párrafo j) al artículo 33.4, con el siguiente contenido:

“j) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo de un mes a menos de seis meses.”

Cuatro. Se añade un nuevo párrafo k) al artículo 39, con el siguiente contenido:

“k) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual.”

Cinco. Se modifica el apartado 3 del artículo 40, que queda redactado como sigue:

“3. La pena de privación del derecho a residir en determinados lugares o acudir a ellos tendrá una duración de hasta diez años. La prohibición de aproximarse a la víctima o a aquellos de sus familiares u otras personas, o de comunicarse con ellas, tendrá una duración de un mes a diez años. La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual tendrá una duración de un mes a diez años.”

Seis. Se modifica el artículo 45, que queda redactado como sigue:

“Artículo 45.

La inhabilitación especial para profesión, oficio, industria o comercio u otras actividades, incluidas las que se desarrollen o exploten en espacios virtuales, sean o no retribuidas, o cualquier otro derecho, que ha de concretarse expresa y motivadamente en la sentencia, priva a la persona penada de la facultad de ejercerlos durante el tiempo de la condena. La autoridad judicial podrá restringir la inhabilitación a determinadas actividades o funciones de la profesión u oficio, retribuido o no, permitiendo, si ello fuera posible, el ejercicio de aquellas funciones no directamente relacionadas con el delito cometido.”

Siete. Se modifica el apartado 4 y se añade un nuevo apartado 5 al artículo 48, con la siguiente redacción:

“4. El juez o tribunal podrá acordar que el control de las medidas previstas en los apartados anteriores se realice a través de aquellos medios electrónicos que lo permitan.

5. La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, priva a la persona penada de la facultad del acceso o de comunicación a través de internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación durante el tiempo de la condena, cuando tengan relación directa con el delito cometido.

En la resolución judicial deberá concretarse y motivarse expresamente el contenido o alcance de la prohibición.”

Ocho. Se añade un nuevo párrafo 4.º al artículo 56.1, con el siguiente contenido:

“4.º La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, cuando tengan relación directa con el delito cometido.”

Nueve. Se modifica el párrafo 6.º del artículo 70.3, que queda redactado como sigue:

“6.º Tratándose de privación del derecho a residir en determinados lugares o acudir a ellos, o de la prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, la misma pena, con la cláusula de que su duración máxima será de veinte años.”

Diez. Se añade un nuevo párrafo 10.º al artículo 83.1, con el siguiente contenido:

“10.º Prohibición de acceso o de comunicación a través de redes sociales, foros o plataformas virtuales cuando tengan relación directa con el delito cometido.”

Once. Se añade un nuevo artículo 173 bis, con el siguiente contenido:

“Artículo 173 bis.

Se impondrá la pena de prisión de uno a dos años a quienes, sin autorización de la persona afectada y con ánimo de menoscabar su integridad moral, difundan, exhiban o cedan su imagen corporal o audio de voz generada, modificada o recreada mediante sistemas automatizados, software, algoritmos, inteligencia artificial o cualquier otra tecnología, de modo que parezca real, simulando situaciones de contenido sexual o gravemente vejatorias.

Se aplicará la pena en su mitad superior si dicho material ultrafalsificado se difunde a través de un medio de comunicación social, por medio de internet o mediante el uso de tecnologías, de modo que aquel se hiciera accesible a un elevado número de personas en el espacio virtual.”

Doce. Se añade un nuevo párrafo e bis) al artículo 181.5, con el siguiente contenido:

“e bis) Cuando para facilitar la ejecución del delito, la persona responsable haya utilizado una identidad ficticia o imaginaria, o se haya atribuido una edad, sexo u otras condiciones personales diferentes de las propias.”

Trece. Se añade un nuevo apartado 3 al artículo 182, con el siguiente contenido:

“3. Si para facilitar la ejecución de las conductas definidas en los apartados anteriores la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Catorce. Se modifica el artículo 183, que queda redactado como sigue:

“Artículo 183.

1. El que a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los artículos 181 y 189, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Las penas se impondrán en su mitad superior cuando el acercamiento se obtenga mediante coacción, intimidación, engaño o empleando una identidad ficticia o imaginaria, o atribuyéndose el agresor una edad, sexo u otras condiciones personales diferentes a las propias.

2. El que, a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor, será castigado con una pena de prisión de seis meses a dos años.

Cuando el embaucamiento se lleve a efecto utilizando el agresor una identidad ficticia o imaginaria, o atribuyéndose edad, sexo u otras condiciones personales diferentes a las propias, la pena se impondrá en su mitad superior.”

Quince. Se modifica el artículo 185, que queda redactado como sigue:

“Artículo 185.

El que ejecutare o hiciere ejecutar a otra persona actos de exhibición obscena ante menores de edad o personas con discapacidad necesitadas de especial protección, será castigado con la pena de prisión de seis meses a un año o multa de doce a veinticuatro meses.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad falsa, ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Dieciséis. Se modifica el artículo 186, que queda redactado como sigue:

“Artículo 186.

El que, a sabiendas, y por cualquier medio, vendiere, difundiere, exhibiere o pusiere a disposición, entre menores de edad o personas con discapacidad necesitadas de especial protección, material pornográfico, será castigado con la pena de prisión de seis meses a un año o multa de doce a veinticuatro meses.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Diecisiete. Se modifica el apartado 1 del artículo 188, que queda redactado como sigue:

“1. El que induzca, promueva, favorezca o facilite la prostitución de un menor de edad o una persona con discapacidad necesitada de especial protección, o se lucre con ello, o explote de algún otro modo a un menor o a una persona con discapacidad para estos fines, será castigado con las penas de prisión de dos a cinco años y multa de doce a veinticuatro meses.

Si la víctima fuera menor de dieciséis años, se impondrá la pena de prisión de cuatro a ocho años y multa de doce a veinticuatro meses.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Dieciocho. Se modifica el apartado 4 del artículo 188, que queda redactado como sigue:

“4. El que solicite, acepte u obtenga, a cambio de una remuneración o promesa, una relación sexual con una persona menor de edad o una persona con discapacidad necesitada de especial protección, será castigado con una pena de uno a cuatro años de prisión. Si el menor no hubiera cumplido dieciséis años de edad, se impondrá una pena de dos a seis años de prisión.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Diecinueve. Se modifica el apartado 3 del artículo 189, que queda redactado como sigue:

“3. Si los hechos a que se refiere la letra a) del párrafo primero del apartado 1 se hubieran cometido con violencia o intimidación se impondrá la pena superior en grado a las previstas en los apartados anteriores.

Si para facilitar la ejecución de esos mismos hechos a que se refiere la letra a) del párrafo primero del apartado 1 el responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, se impondrá la pena prevista en los apartados anteriores en su mitad superior.”

Disposición final tercera. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Se modifica la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en los siguientes términos:

Uno. Se modifica el apartado 2 del artículo 9, que queda redactado como sigue:

“2. Corresponderá a los Juzgados Centrales de lo Contencioso-Administrativo, la autorización a que se refiere el artículo 8.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la información y de Comercio Electrónico, y la ejecución de los actos adoptados por el órgano competente para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la Ley 34/2002, de 11 de julio, así como la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del  Parlamento Europeo y del Consejo de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE.

Asimismo, corresponde a los Juzgados Centrales de lo Contencioso-Administrativo autorizar las actuaciones que deba llevar a cabo la autoridad audiovisual competente, de acuerdo con el artículo 93.4 de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en caso de incumplimiento por parte del proveedor de servicios del uso de una herramienta de verificación de mayoría de edad que, como mínimo, cumpla las especificaciones recogidas en la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024.

Dos. Se modifica el apartado 2 y se añade un nuevo apartado 3 en el artículo 122 bis, con la siguiente redacción:

“2. La ejecución de las medidas para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la Ley 34/2002, de 11 de julio, así como para la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022, requerirá de autorización judicial previa en todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de forma excluyente para intervenir en el ejercicio de actividades o derechos, de conformidad con lo establecido en los párrafos siguientes.

Acordada la medida por el órgano correspondiente, solicitará del Juzgado competente la autorización para su ejecución, referida a la posible afectación a los derechos y libertades garantizados en la Constitución. La solicitud habrá de ir acompañada del expediente administrativo.

En el plazo improrrogable de dos días siguientes a la recepción de la notificación de la resolución administrativa y poniendo de manifiesto el expediente, el Juzgado dará traslado de la resolución al representante legal de la Administración, al del Ministerio Fiscal y a los titulares de los derechos y libertades afectados o a la persona que éstos designen como representante para que puedan efectuar alegaciones escritas por plazo común de cinco días.

Si de las alegaciones escritas efectuadas resultaran nuevos hechos de trascendencia para la resolución, el Juez, atendida la índole del asunto, podrá acordar la celebración de vista oral o, en caso contrario, si de las alegaciones escritas efectuadas no resultaran nuevos hechos de trascendencia para la resolución, el Juez resolverá en el plazo improrrogable de dos días mediante auto. La decisión que se adopte únicamente podrá autorizar o denegar la ejecución de la medida.

3. Lo dispuesto en el apartado anterior será de aplicación a la autorización judicial de las actuaciones que deba llevar a cabo la autoridad audiovisual competente, de acuerdo con el artículo 93.4 de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en caso de incumplimiento por parte del proveedor de servicios del uso de una herramienta de verificación de mayoría de edad para limitar el acceso a contenidos para adultos que, como mínimo, cumpla las especificaciones recogidas en la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024.”

Disposición final cuarta. Modificación del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.

El texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, queda modificado como sigue:

Uno. Se añade un nuevo párrafo g) al artículo 8, con el siguiente contenido:

“f) La protección de las personas menores de edad, como personas consumidoras vulnerables, en relación con los bienes o servicios digitales.”

Dos. Se añade un nuevo párrafo v) al artículo 47.1, con el siguiente contenido:

“v) El incumplimiento por parte del empresario de las obligaciones de verificación y comprobación de edad en la contratación de bienes o servicios destinados a personas mayores de edad.”

Tres. Se modifica el párrafo a) del artículo 48.2, que queda redactado como sigue:

“a) Las infracciones de los apartados f), g), i), k), l), m), n), ñ), p), q), t) y v) del artículo 47 se calificarán como leves, salvo que tengan la consideración de graves de acuerdo con el apartado tercero de este artículo.”

Cuatro. Se modifica el apartado 1 del artículo 62, que queda redactado como sigue:

“1. En la contratación con consumidores y usuarios debe constar de forma inequívoca su voluntad de contratar o, en su caso, de poner fin al contrato.

Los empresarios que ofrezcan bienes o servicios destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad, deberán exigir, con carácter previo a la contratación, la presentación o exhibición de un documento oficial acreditativo de la edad o bien recurrir a cualquier método de comprobación de la edad, efectivo y acorde con el medio a través del cual se vaya a llevar a cabo la contratación.”

Cinco. Se modifica el apartado 2 del artículo 98, que queda redactado como sigue:

“2. Si un contrato a distancia que ha de ser celebrado por medios electrónicos implica obligaciones de pago para el consumidor y usuario, el empresario pondrá en conocimiento de éste de una manera clara y destacada, y justo antes de que efectúe el pedido, la información establecida en el artículo 97.1.a), e), p) y q).

El empresario deberá velar por que el consumidor y usuario, al efectuar el pedido, confirme expresamente que es consciente de que éste implica una obligación de pago. Si la realización de un pedido se hace activando un botón o una función similar, el botón o la función similar deberán etiquetarse, de manera que sea fácilmente legible, únicamente con la expresión «pedido con obligación de pago» o una formulación análoga no ambigua que indique que la realización del pedido implica la obligación de pagar al empresario. En caso contrario, el consumidor y usuario no quedará obligado por el contrato o pedido.

En caso de que el objeto del contrato celebrado a distancia sean bienes o servicios propios o ajenos o, internos o externos, destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad, el empresario deberá exigir, con carácter previo a la contratación, la presentación o exhibición de un documento oficial acreditativo de la edad o bien recurrir a cualquier método de comprobación de la edad, efectivo y acorde con el medio a través del cual se vaya a llevar a cabo la contratación.”

Seis. Se añade un nuevo apartado 7 al artículo 115 ter, con el siguiente contenido:

“En el caso de dispositivos digitales que tengan la capacidad de conectarse a internet y a través de dicha conexión las personas menores de edad puedan acceder a contenidos perjudiciales para menores, los fabricantes proporcionarán información en sus productos en la que se advierta de los riesgos derivados del acceso a contenidos perjudiciales para la salud y desarrollo físico, mental y moral de los menores. De igual modo, facilitarán información sobre las medidas de protección de datos y riesgos relacionados con la privacidad y la seguridad; el tiempo recomendado de uso de los productos y servicios, adecuado a la edad de la persona usuaria; los sistemas de control parental; los riesgos sobre el desarrollo cognitivo y emocional y la afección a la calidad del sueño de un uso prolongado de tales servicios.

Asimismo, los fabricantes incluirán en estos dispositivos una funcionalidad de control parental de servicios, aplicaciones y contenidos, cuya activación debe producirse por defecto en el momento de la configuración inicial del dispositivo, siendo la inclusión de la funcionalidad, su activación, configuración y actualización gratuita para el usuario.”

Disposición final quinta. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, queda modificada en los siguientes términos:

Uno. Se modifica el artículo 7, que queda redactado como sigue:

“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de dieciséis años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de dieciséis años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.”

Dos. Se modifica el artículo 12.6, que queda redactado como sigue:

“6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de dieciséis años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.”

Disposición final sexta. Modificación de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual

La Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, queda modificada como sigue:

Uno. Se modifica el párrafo b) del artículo 42, que queda redactado así:

“b) Establecimiento en España y autoridad audiovisual de supervisión competente, incluyendo un enlace fácilmente reconocible y accesible al sitio web de dicha autoridad con el fin de que los usuarios puedan notificar posibles infracciones de la normativa audiovisual.”

Dos. Se modifican los párrafos e) y f) del artículo 89.1, que quedan redactados como sigue:

“e) Establecer y operar, por defecto, sistemas de verificación de edad para los usuarios con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía.

Dichos sistemas deberán garantizar unos niveles de seguridad y de privacidad, en particular, en cuanto a minimización de datos, limitación de la finalidad y protección de datos desde el diseño equivalentes, como mínimo, a los de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024. f) Establecer por defecto sistemas de control parental controlados por el usuario final con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores.”

Tres. Se modifica el apartado 4 del artículo 93, que queda redactado como sigue:

“4. El incumplimiento de las obligaciones previstas en el artículo 89.1.e) será constitutiva de la infracción tipificada en el artículo 157.8, sin perjuicio de la responsabilidad penal que pueda derivarse de dicha acción. A este respecto, cuando el incumplimiento de las citadas obligaciones atente o pueda atentar contra el principio de protección de juventud e infancia, la Comisión Nacional de los Mercados y la Competencia podrá adoptar las medidas previstas en los artículos 8 y 11 de la Ley 34/2002, de 11 de julio, de conformidad con lo dispuesto en dichos artículos”.

Cuatro. Se modifica el apartado 1 del artículo 94, que queda redactado como sigue:

“1. Los usuarios de especial relevancia que empleen servicios de intercambio de vídeos a través de plataforma se considerarán prestadores del servicio de comunicación audiovisual a los efectos del cumplimiento de los principios establecidos en los artículos 4, 6, 10, 12, 14, 15 y en el apartado 1 del artículo 7 y de las obligaciones para la protección de los menores conforme a lo establecido en los apartados 1, 2, 3 y 4 del artículo 99. Asimismo, tales usuarios deberán respetar lo dispuesto en las secciones 1ª y 2ª del capítulo IV del título VI cuando comercialicen, vendan u organicen las comunicaciones comerciales que acompañen o inserten en sus contenidos audiovisuales.

Los usuarios de especial relevancia tomarán aquellas medidas adecuadas para el cumplimiento de estas obligaciones y utilizarán los mecanismos que el prestador del servicio de intercambio de vídeos a través de plataforma pone a su disposición, en particular los establecidos en los artículos 89.1.d) y 91.2.b).”

Cinco. Se modifica la letra c) del artículo 160.1, que queda redactada como sigue:

“c) Las sanciones previstas en las letras a) y b) de este apartado podrán, además, llevar aparejada alguna de las siguientes sanciones accesorias:

1.º La revocación de la licencia para prestar el servicio de comunicación audiovisual y el consiguiente cese de la prestación del servicio cuando el prestador haya cometido la infracción muy grave prevista en los apartados 6 y 7 del artículo 157.

2.º El cese de las emisiones y el precintado provisional de los equipos e instalaciones utilizados para realizar la emisión cuando se haya cometido la infracción muy grave prevista en los apartados 4 y 5 del artículo 157.

3.º El cese de la prestación del servicio por parte del prestador del servicio de intercambio de videos a través de plataforma cuando se haya cometido la infracción muy grave prevista en el apartado 8 del artículo 157. Esta medida se adoptará en los términos establecidos en el artículo 93.4.”

Disposición final séptima. Títulos competenciales.

Esta ley orgánica se dicta con carácter básico al amparo de lo previsto en el artículo 149.1, 1.ª, y 13.ª, que atribuye al Estado la competencia exclusiva en materia de regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; y de bases y coordinación de la planificación general de la actividad económica.

De manera más específica:

Los contenidos del título II constituyen normas básicas para el desarrollo del artículo 27 de la Constitución, en virtud de lo previsto en el artículo 149.1.30.ª de la Constitución Española.

El título III se dispone en virtud de la competencia del Estado en materia de bases y coordinación general de la sanidad, dispuesta en el artículo 149.1.16.ª de la Constitución Española.

Las disposiciones finales primera, segunda y tercera se dictan al amparo de las competencias en materia de legislación penal y procesal, que el artículo 149.1.6.ª de la Constitución Española atribuye al Estado.

La disposición final cuarta se dicta también al amparo de la competencia en materia de legislación civil, prevista en el artículo 149.1.8.ª de la Constitución.

En la disposición final sexta, de modificación de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, las modificaciones de sus artículos 42 y 160 se dictan de acuerdo con el artículo 149.1.27.ª de la Constitución Española atribuye al Estado la competencia exclusiva en relación con normas básicas del régimen de prensa, radio y televisión y, en general, de todos los medios de comunicación social, sin perjuicio de las facultades de desarrollo y ejecución que correspondan a las Comunidades Autónomas. El resto de sus contenidos se dictan al amparo de la competencia exclusiva del Estado en materia de telecomunicaciones que le atribuye el artículo 149.1.21.ª de la Constitución Española.

Disposición final octava. Naturaleza de ley orgánica.

Tienen carácter de ley orgánica las disposiciones finales primera, segunda y quinta. El resto de preceptos tienen naturaleza de ley ordinaria.

Disposición final novena. Desarrollo reglamentario. 1. Se habilita al Gobierno para dictar las disposiciones necesarias para el desarrollo de lo establecido en esta ley orgánica.

2. En el plazo de seis meses desde la entrada en vigor de las obligaciones previstas en el artículo 4, el Gobierno, mediante real decreto, determinará la información que deben proporcionar los fabricantes, el formato en que debe proporcionarse y una concreción de los riesgos sobre los que se debe informar.

Disposición final décima. Entrada en vigor.

La presente ley orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

No obstante, las obligaciones previstas en el artículo 4 entrarán en vigor al año de la publicación de esta ley orgánica en el «Boletín Oficial del Estado».

ELÉVESE AL CONSEJO DE MINISTROS

Madrid, a    de               de 2024

EL MINISTRO DE LA PRESIDENCIA, JUSTICIA Y RELACIONES CON LAS CORTES, Félix Bolaños García

LA MINISTRA DE JUVENTUD E INFANCIA, Sira Abed Rego

EL MINISTRO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA, José Luis Escrivá Belmonte

EL MINISTRO DE DERECHOS SOCIALES, CONSUMO Y AGENDA 2030, Pablo Bustinduy Amador

26Ago/24

Resolución nº 71.406 del 15 de noviembre de 2023

Resolución nº 71.406 del 15 de noviembre de 2023, del Ministerio de Comercio, Industria y Turismo. Superintendencia de Industria y Comercio, por la cual se imparten unas órdenes administrativas.

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 71406 DE 2023

(15 de noviembre de 2023)

“Por la cual se imparten unas órdenes administrativas”.

Radicación: 21-190473

EL DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DEDATOS PERSONALES

En ejercicio de sus facultades legales, en especial las conferidas por el artículo 19 y los literales a) y b) del artículo 21, ambos de la Ley 1581 de 2012, y los numerales (5) y (9) del artículo 17 del Decreto 4886 de 2011, modificado por el artículo 7 del Decreto 092 de 2022, y

CONSIDERANDO

PRIMERO: Que la Dirección de Investigación de Protección de Datos Personales, mediante comunicación radicada bajo el número 21-190473- 2 del 26 de agosto de 2021, requirió a la sociedad LINKEDIN IRELAND UNLIMITED COMPANY, con el propósito de que informara lo siguiente:

“Hacemos referencia a la investigación realizada por Cybernews el pasado 06 de abril, respecto a la presunta exposición de información asociada a, aproximadamente, 500 millones de usuarios de Linkedin. Por tanto, en ejercicio de las funciones otorgadas por la Ley Estatutaria 1581 de 2012 a esta Superintendencia, como máxima autoridad de protección de datos personales en Colombia, nos permitimos solicitar atender los siguientes interrogantes:

1) Con base en las indagaciones realizadas por ustedes, ¿se determinó si dentro de las cuentas expuestas, se encuentran datos personales de nacionales colombianos?

2) En caso afirmativo, precisen ¿Qué datos personales privados, semiprivados y/o sensibles administrados por Linkedin fueron conocidos por terceros no autorizados?

3) ¿Cuáles fueron las medidas adoptadas por la plataforma para mitigar los efectos de la exposición no controlada de los datos en la dark web, conforme a las investigaciones del sitio web Cybernews?

4) ¿De acuerdo con el comunicado oficial de la plataforma, alojado en el vínculo https://news.Linkedin.com/2021/april/an-update-from-Linkedin, a qué tipo de perfiles se hace referencia con publicly viewable member profile/ miembros visibles públicamente? Señale cuál es el mecanismo utilizado para obtener la autorización de los titulares, cuya información se encuentra visible a través de los buscadores de la web.

5) Informen, si a la fecha, cuentan con registros de reclamaciones presentadas por vulneración del derecho de hábeas data de titulares de cuentas colombianas, asociadas a este incidente de seguridad”.

SEGUNDO: Que mediante escrito radicado bajo el número 21-190743- -4 del 01 de febrero de 2022, la compañía LINKEDIN IRELAND UNLIMITED COMPANY atendió el requerimiento de información remitido por esta autoridad.

TERCERO: Que, con base en la referida comunicación, esta Dirección envió el requerimiento radicado bajo el número 21-190473 -5 del 09 de agosto de 2022, a través del cual solicitó que se informara lo que, a continuación se cita:

“1. En la respuesta allegada, la compañía afirma que no tiene un desglose por país de todos los usuarios de Linkedin afectados. No obstante, es imperioso para esta Superintendencia, identificar la información afectada de Titulares ciudadanos o residentes en la República de Colombia.

Para ello, solicitamos que nos informen la cantidad exacta de cuentas asociadas a nacionales colombianos y/o residentes en Colombia, que quedaron expuestas con ocasión de los accesos a sus sistemas de información. Al respecto, informe los datos que fueron extraídos del sitio web de Linkedin.

2. Informen si, a la fecha de recibo de esta comunicación se han recibido reclamaciones por parte de titulares, respecto a la exposición de sus datos personales.

3. El literal g) del artículo 4 de la Ley 1581 de 2012 “por la cual se dictan disposiciones generales para la protección de datos personales”, contempla el Principio de Seguridad, según el cual “La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

Conforme a lo descrito, ¿considera la compañía Linkedin que el “scraping” es un “acceso no autorizado o fraudulento” a la información personal de los usuarios de su plataforma?

4. En el marco de la Política de Tratamiento de Datos Personales de Linkedin vigente en el momento en el que sucedieron los hechos bajo estudio, la compañía:

a. ¿Permitía el “scraping” por parte de algún(os) tercero(s)? De ser así, ¿contaba con la autorización de los titulares de acuerdo con los estándares de la legislación nacional?

b. ¿Les informaba a los titulares sobre la práctica del “scraping” y la información que podría ser susceptible de ser recolectada a través de esta práctica?”

CUARTO: Que, a la fecha de expedición de este acto administrativo, no obra en el expediente respuesta alguna por parte de la compañía LINKEDIN CORPORATION (1) frente a esta última comunicación. Al respecto, es oportuno señalar que la presente actuación administrativa, adelantada de manera oficiosa, tiene su origen en la brecha de seguridad por “Data Scraping” (2) que en su momento fuera confirmada por LINKENDIN, en la cual terceros ajenos a esa plataforma accedieron a la información de cuentas de usuario, sin que mediara autorización para el efecto.

Sobre el particular, es preciso señalar que la extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

De manera más amplia, los Titulares pierden el control cuando su información personal se extrae sin su conocimiento y en contra de sus expectativas. Por ejemplo, los extractores de datos pueden agregar y combinar datos extraídos de un sitio con otra información personal y utilizarla para fines inesperados. Esto puede socavar la confianza de los Titulares en los Responsables y Encargados del Tratamiento.

Además, incluso si los Titulares deciden suprimir/actualizar/rectificar su información de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), los extractores de datos pueden continuar utilizando y compartiendo la información que ya han extraído, limitando el control de las personas sobre su huella digital (3).

QUINTO: Que, de conformidad con lo expuesto, se procederá a hacer las siguientes:

CONSIDERACIONES DE LA DIRECCIÓN DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES

I. Competencia de la Superintendencia de Industria y Comercio para ordenar las medidas que sean necesarias para hacer efectivo el derecho a debido Tratamiento de Datos Personales.

El artículo 19 de la Ley Estatutaria 1581 de 2012, establece que “la Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”. El artículo 21, por su parte, faculta a esta entidad para, entre otras: “b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. (…) e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley; (…) f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.”

Así las cosas, existen expresas y suficientes facultades legales para que esta Superintendencia pueda iniciar investigaciones, así como impartir órdenes o instrucciones.

II. La Ley 1581 de 2012 es aplicable a LIKEDIN CORPORATION por cuanto, a través del sitio web “LINKEDIN” se recolectan datos personales en el territorio de la República de Colombia, por medio de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia.

Ordena la Constitución Política de Colombia, en su artículo 15, que en cualquier actividad que recaiga sobre datos personales se respete la libertad y demás garantías consagradas en esa norma. Así, es de vital importancia recordar que el caso bajo estudio hace referencia al cumplimiento de exigencias de naturaleza Constitucional referidas al derecho fundamental al debido tratamiento de los datos personales de los ciudadanos.

En efecto, el artículo 15 de la Constitución Política Nacional no solo establece que “todas las personas (…) a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” (4), sino que es clara al exigir que:

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Con fundamento en lo anterior, se promulga la Ley Estatutaria 1581 de 2012 que desarrolla, entre otras, el citado derecho constitucional de categoría fundamental. En el artículo 2 de la referida norma se dispone lo siguiente:

“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales”.

El término “Tratamiento” no solo se menciona en el artículo 15 (5) de la Constitución Política de la República de Colombia, sino que, es determinante para establecer el campo de aplicación de la citada disposición normativa, la cual lo define de la siguiente manera:

“Artículo 3. Definiciones. Para los efectos de la presente ley, se entiende por:

(…)

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable, entre otras, cuando:

a. El Tratamiento lo realiza el Responsable o Encargado, domiciliados o no en territorio colombiano, que directa o indirectamente, a través de cualquier medio o procedimiento, físico o electrónico, recolecta, usa, almacena o trata Datos personales en el territorio de la República de Colombia. Las anteriores hipótesis son ejemplos de “tratamiento [sic] de datos [sic] personales efectuado en territorio colombiano” a que se refiere la parte primera del mencionado artículo 2.

b. El Responsable o el Encargado no está domiciliado en la República de Colombia ni realiza Tratamiento de Datos dentro del territorio colombiano. Pero, existen normas o tratados internacionales que los obliga a cumplir la regulación colombiana.

La Corte Constitucional, por su parte, en relación con el ámbito de aplicación de ese artículo señaló en la Sentencia C-748 de 2011 (6):

“Para la Sala, esta disposición se ajusta a la Carta, pues amplía el ámbito de protección a algunos Tratamientos de datos personales que ocurren fuera del territorio nacional, en virtud del factor subjetivo. En un mundo globalizado en el que el flujo transfronterizo de datos es constante, la aplicación extraterritorial de los estándares de protección es indispensable para garantizar la protección adecuada de los datos personales de los residentes en Colombia, pues muchos de los Tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para garantizar el derecho al habeas data” (7).

Es importante señalar que, otras autoridades de protección de datos han concluido que las cookies son mecanismos que usan empresas extranjeras para instalarlas en los equipos de las personas de otros países y recolectar sus datos.

Frente a lo anterior, a finales de 2013 la Agencia Española de Protección de Datos (en adelante AEPD) concluyó lo siguiente con ocasión de una investigación que inició contra Google:

“En todo caso, (…) la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así́ como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos” (8) (…)”.

En cuanto a las web cookies, el sitio web de LINKEDIN las define, en su Política de Cookies, así:

“Una cookie es un pequeño archivo colocado en tu dispositivo electrónico que habilita las funcionalidades de Linkedin. Cualquier navegador que visite nuestros sitios puede recibir cookies nuestras o de terceros, como nuestros clientes, socios o proveedores de servicios. Linkedin o terceros pueden colocar cookies en tu navegador cuando visitas sitios web que no son de Linkedin que muestran anuncios o alojan nuestros complementos y etiquetas.

Utilizamos dos tipos de cookies: persistentes y de sesión. Las cookies persistentes permanecen después de la sesión actual y se usan con muchos fines, como el de reconocerte como un usuario existente. De este modo, resulta más sencillo volver a Linkedin e interactuar con nuestros Servicios sin tener que volver a iniciar sesión. Como las cookies persistentes permanecerán en tu navegador, Linkedin las leerá cuando vuelvas a uno de nuestros sitios web o a un sitio de un tercero que utilice nuestros Servicios. Las cookies de sesión solo se almacenan durante el tiempo que dure la misma (normalmente, lo que dure la visita que estés realizando en ese momento a un sitio web o la sesión con el navegador)” (9).

En este contexto, la Política de Privacidad alojada en el enlace: https://es.Linkedin.com/legal/cookie-policy? del sitio web Linkedin informa que utiliza múltiples modalidades de cookies, informando adicionalmente que “Los terceros también pueden usar cookies en relación con nuestros Servicios externos, como los servicios publicitarios de Linkedin. Los terceros pueden utilizar cookies para ayudarnos a proporcionar nuestros Servicios. También podemos trabajar con terceros para nuestros propios fines de marketing y para permitirnos analizar e investigar nuestros Servicios”.

Al respecto, se pueden visualizar las siguientes modalidades de cookies utilizadas por Linkedin:

(…)

Frente a la recolección de información a través de Cookies, LinkedIn informa a sus usuarios, a través de la citada Política de Privacidad, que:

“Tal y como se describe en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, balizas web y etiquetas de anuncios) para recopilar información (por ejemplo, identificadores de dispositivos) para reconocerte a ti y/o a tu dispositivo o dispositivos en los diferentes Servicios y dispositivos. También permitimos que otras personas usen cookies en el modo descrito en nuestra Política de cookies. Si no resides en uno de los Países designados, recopilamos (o terceros a los que recurrimos recopilan) información sobre tu dispositivo (por ejemplo, ID del anuncio, dirección IP, sistema operativo e información del navegador) para ofrecer a nuestros Miembros anuncios relevantes y entender mejor su eficacia. Más información. También puedes marcar la opción de autoexclusión para que no utilicemos la información de las cookies ni de tecnologías similares para hacer un seguimiento de tu comportamiento en otros sitios web para la publicidad de terceros. Los Visitantes disponen de controles aquí”.

Entonces, es dable concluir sin lugar a duda, que una cookie es un mecanismo que se instala en los equipos o dispositivos (bien sea celular, computador portátil u otro) de las personas residentes o domiciliadas en la República de Colombia, con el objetivo de recolectar algunos de sus datos personales. Por tanto, el sitio web https://www.linkedin.com , propiedad de la compañía LINKEDIN CORPORATION, realiza tratamiento de datos personales en el territorio colombiano, sujeto a las disposiciones de la Ley 1581 de 2012.

III. LINKEDIN CORPORATION tiene la obligación de cumplir la Legislación colombiana, así como las órdenes y requerimientos de esta autoridad, en cumplimiento de la Ley 1581 de 2012.

La regulación sobre tratamiento de datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información. La Ley colombiana permite el uso de tecnologías para tratar datos pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre tratamiento de datos personales.

Entonces, es importante decir que nuestra Constitución Política Nacional establece:

Artículo 4 “(…) Es deber de los nacionales y de los extranjeros en Colombia acatar la Constitución y las leyes, y respetar y obedecer a las autoridades” (10).

Artículo 333 “(…) La actividad económica y la iniciativa privada son libres, dentro de los límites del bien común. Para su ejercicio, nadie podrá exigir permisos previos ni requisitos, sin autorización de la ley. La libre competencia económica es un derecho de todos que supone responsabilidades. La empresa, como base del desarrollo, tiene una función social que implica obligaciones”.

Entonces, es la misma Constitución Política la que dispone el cumplimiento de la normatividad a los extranjeros que estén en este territorio. La cual, además, incluye el sometimiento a la ley en general, así como a las órdenes de autoridades administrativas, entre otras.

IV. El respeto por las leyes en el ciberespacio.

En el ciberespacio no desaparecen ni disminuyen los derechos de las personas. El ciberespacio ha sido caracterizado por ser un escenario global no delimitado por fronteras geográficas en donde las actividades suceden dentro de la arquitectura tecnológica de Internet. Aunque se trata de un “mundo virtual”, sus ciudadanos son millones de personas reales ubicadas en prácticamente cualquier lugar del “mundo físico”, cuyas actividades tienen impacto o consecuencias en el “mundo real”.

A pesar de que el campo de acción de Internet desborda las fronteras nacionales, para la Corte Constitucional el nuevo escenario tecnológico y las actividades en Internet no se sustraen del respeto de los mandatos constitucionales. Por eso, concluyó esa Corporación que “en Internet (…) puede haber una realidad virtual pero ello no significa que los derechos, en dicho contexto, también lo sean. Por el contrario, no son virtuales: se trata de garantías expresas por cuyo goce efectivo en el llamado “ciberespacio” también debe velar el juez constitucional” (11). Recalca dicha Corporación que, “nadie podría sostener que, por tratarse de Internet, los usuarios sí pueden sufrir mengua en sus derechos constitucionales”(12).

De otra parte, LinkedIn informa en su sitio web que cuenta con, alrededor de 850 millones de cuentas de usuarios en 200 territorios (13), incluyendo a Colombia, razón por la cual se puede colegir que esta tiene la obligación Constitucional y Legal de garantizarles a los nacionales colombianos el debido tratamiento de sus datos personales y el correcto ejercicio de sus derechos fundamentales en el ciberespacio.

V. Sobre el Tratamiento de Datos Personales por parte de LinkedIn

Con la finalidad de entender qué información es tratada por el sitio web y para qué finalidades, la Dirección De Investigación de Protección de Datos Personales ha procedido a revisar la información que dispone la Política de Privacidad del sitio web LinkedIn en los siguientes términos (14):

Categoría                                                                           Descripción

Registro Para crear una cuenta, debe proporcionar datos que incluyan su nombre, dirección de correo electrónico y / o número de teléfono móvil, y una contraseña. Si se registra para un Servicio premium, deberá proporcionar información de pago (por ejemplo, tarjeta de crédito) y facturación.

Perfil

Usted tiene opciones sobre la información en su perfil, como su educación, experiencia laboral, habilidades, foto, ciudad o área y endosos. No tiene que proporcionar información adicional en su perfil; sin embargo, la información del perfil le ayuda a obtener más de nuestros Servicios, incluida la ayuda a los reclutadores y las oportunidades comerciales para encontrarlo. Es su elección si desea incluir información confidencial en su perfil y hacer pública esa información confidencial. No publique ni agregue datos personales a su perfil que no desee que estén disponibles públicamente.

Publicación y carga

Recopilamos datos personales de usted cuando los proporciona, pública o carga en nuestros Servicios, como cuando completa un formulario (por ejemplo, con datos demográficos o salario), responde a una encuesta o envía un currículum vitae o completa una solicitud de empleo en nuestros Servicios. Si opta por importar su libreta de direcciones, recibimos sus contactos (incluida la información de contacto que su proveedor de servicios o aplicación agregó automáticamente a su libreta de direcciones cuando se comunicó con direcciones o números que aún no están en su lista).

Si sincroniza sus contactos o calendarios con nuestros Servicios, recopilaremos su libreta de direcciones y la información de las reuniones del calendario para seguir haciendo crecer su red sugiriendo conexiones para usted y otros, y proporcionando información sobre eventos, por ejemplo, horarios, lugares, asistentes y contactos.

No tiene que publicar o cargar datos personales; aunque si no lo hace, puede limitar su capacidad para crecer y comprometerse con su red a través de nuestros Servicios.

Contenido y Noticias

Usted y otros pueden publicar contenido que incluya información sobre usted (como parte de artículos, publicaciones, comentarios, videos) en nuestros Servicios. También podemos recopilar información pública sobre usted, como noticias y logros profesionales, y ponerla a disposición como parte de nuestros Servicios, incluso, según lo permita su configuración, en notificaciones a otros de menciones en las noticias.

Información de contacto y calendario

Recibimos datos personales (incluida información de contacto) sobre usted cuando otros importan o sincronizan sus contactos o calendario con nuestros Servicios, asocian sus contactos con perfiles de miembros, escanean y cargan tarjetas de visita o envían mensajes utilizando nuestros Servicios (incluidas invitaciones o solicitudes de conexión). Si usted u otras personas optan por sincronizar cuentas de correo electrónico con nuestros Servicios, también recopilaremos información de “encabezado de correo electrónico” que podemos asociar con los perfiles de los Miembros.

Socios

Recibimos datos personales (por ejemplo, su cargo y dirección de correo electrónico del trabajo) sobre usted cuando utiliza los servicios de nuestros clientes y socios, como empleadores o posibles empleadores y sistemas de seguimiento de solicitantes que nos proporcionan datos de solicitud de empleo.

Empresas relacionadas y otros servicios

Recibimos datos sobre usted cuando utiliza algunos de los otros servicios proporcionados por nosotros o nuestras filiales, incluido Microsoft. Por ejemplo, puede optar por enviarnos información sobre sus contactos en aplicaciones y servicios de Microsoft, como Outlook, para mejorar las actividades de redes profesionales en nuestros Servicios.

Uso del Servicio

Registramos datos de uso cuando visita o utiliza nuestros Servicios, incluidos nuestros sitios, aplicaciones y tecnología de plataforma, como cuando ve o hace clic en contenido (por ejemplo, video de aprendizaje) o anuncios (dentro o fuera de nuestros sitios y aplicaciones), realiza una búsqueda, instala o actualiza una de nuestras aplicaciones móviles, comparte artículos o solicita empleos. Utilizamos inicios de sesión, cookies, información del dispositivo y direcciones de protocolo de Internet (“IP”) para identificarlo y registrar su uso.

Cookies y tecnologías similares

Como se describe con más detalle en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, píxeles y etiquetas de anuncios) para recopilar datos (por ejemplo, ID de dispositivo) para reconocerlo a usted y a su(s) dispositivo(s) en, apagado y en diferentes servicios y dispositivos donde ha interactuado con nuestros Servicios. También permitimos que otros utilicen cookies como se describe en nuestra Política de cookies. Si se encuentra fuera de los Países designados, también recopilamos (o confiamos en otros que recopilan) información sobre su dispositivo cuando no ha interactuado con nuestros Servicios (por ejemplo, ID de anuncio, dirección IP, sistema operativo e información del navegador) para que podamos proporcionar a nuestros Miembros anuncios relevantes y comprender mejor su efectividad. Más información. Puede optar por no participar en nuestro uso de datos de cookies y tecnologías similares que rastrean su comportamiento en los sitios de otros para la orientación de anuncios y otros fines relacionados con los anuncios. Para los visitantes, los controles están aquí.

Su dispositivo y ubicación

Cuando visita o abandona nuestros Servicios (incluidos algunos complementos y nuestras cookies o tecnología similar en los sitios de otros), recibimos la URL tanto del sitio del que proviene como del sitio al que va y la hora de su visita. También obtenemos información sobre su red y dispositivo (por ejemplo, dirección IP, servidor proxy, sistema operativo, navegador web y complementos, identificador y características del dispositivo, ID de cookies y / o ISP, o su operador de telefonía móvil). Si utiliza nuestros Servicios desde un dispositivo móvil, ese dispositivo nos enviará datos sobre su ubicación en función de la configuración de su teléfono. Le pediremos que se suscriba antes de usar GPS u otras herramientas para identificar su ubicación precisa.

Mensajes

Recopilamos información sobre usted cuando envía, recibe o interactúa con mensajes en relación con nuestros Servicios. Por ejemplo, si recibe una solicitud de conexión de LinkedIn, rastreamos si ha actuado en consecuencia y le enviaremos recordatorios. También utilizamos tecnología de escaneo automático en los mensajes para apoyar y proteger nuestro sitio. Por ejemplo, utilizamos esta tecnología para sugerir posibles respuestas a los mensajes y para administrar o bloquear contenido que viole nuestro Acuerdo de usuario o las Políticas de la comunidad profesional de nuestros Servicios.

De igual forma, se encontró que el sitio web LinkedIn utiliza de la siguiente manera la información recolectada de los Titulares:

Finalidad                                                            Descripción

Cómo utilizamos sus datos

La forma en que usemos sus datos personales dependerá de los Servicios que utilice, cómo los use y las elecciones que realice en su configuración. Utilizamos los datos que tenemos sobre usted para proporcionar y personalizar nuestros Servicios, incluso con la ayuda de sistemas automatizados e inferencias que hacemos, para que nuestros Servicios (incluidos los anuncios) puedan ser más relevantes y útiles para usted y otros.

Manténgase conectado

Nuestros Servicios le permiten mantenerse en contacto y al día con colegas, socios, clientes y otros contactos profesionales. Para ello, puedes “conectarte” con los profesionales que elijas y que también deseen “conectarte” contigo. Sujeto a su configuración y la de ellos, cuando se conecte con otros Miembros, podrá buscar las conexiones de los demás para intercambiar oportunidades profesionales.

Manténgase informado

Nuestros Servicios le permiten mantenerse informado sobre noticias, eventos e ideas sobre temas profesionales que le interesan y de profesionales que respeta. Nuestros Servicios también le permiten mejorar sus habilidades profesionales o aprender otras nuevas. Utilizamos los datos que tenemos sobre usted (por ejemplo, los datos que proporciona, los datos que recopilamos de su compromiso con nuestros Servicios y las inferencias que hacemos de los datos que tenemos sobre usted), para personalizar nuestros Servicios para usted, como recomendar o clasificar contenido y conversaciones relevantes en nuestros Servicios (…).

Carrera

Nuestros Servicios le permiten explorar carreras, evaluar oportunidades educativas y buscar, y ser encontrado, oportunidades de carrera. Su perfil puede ser encontrado por aquellos que buscan contratar (para un trabajo o una tarea específica) o ser contratado por usted. Utilizaremos sus datos para recomendar trabajos o aprendices, mostrarle a usted y a otros contactos profesionales relevantes (por ejemplo, que trabajan en una empresa, en una industria, función o ubicación o tienen ciertas habilidades y conexiones).

Productividad

Nuestros Servicios le permiten colaborar con colegas, buscar clientes potenciales, clientes, socios y otras personas con las que hacer negocios. Nuestros Servicios le permiten comunicarse con otros Miembros y programar y preparar reuniones con ellos. Si su configuración lo permite, escaneamos los mensajes para proporcionar “bots” o herramientas similares que faciliten tareas como programar reuniones, redactar respuestas, resumir mensajes o recomendar los próximos pasos.

Servicios Premium

Vendemos Servicios premium que brindan a nuestros clientes y suscriptores funciones y herramientas de búsqueda personalizadas (incluidas alertas de mensajería y actividad) como parte de nuestras soluciones de talento, marketing y ventas. Los clientes pueden exportar información limitada de su perfil, como nombre, titular, empresa actual, título actual y ubicación general (por ejemplo, Dublín), como administrar clientes potenciales o talento, a menos que opte por no participar. No proporcionamos información de contacto a los clientes como parte de estos Servicios premium sin su consentimiento. Los clientes de Servicios Premium pueden almacenar información que tienen sobre usted en nuestros Servicios premium, como un currículum vitae o información de contacto o historial de ventas. Los datos almacenados sobre usted por estos clientes están sujetos a las políticas de esos clientes. Otros servicios empresariales y características que utilizan sus datos incluyen TeamLink y Elevate (promoción social de contenido).

Comunicaciones

Nos pondremos en contacto con usted a través de correo electrónico, teléfono móvil, avisos publicados en nuestros sitios web o aplicaciones, mensajes a su bandeja de entrada de LinkedIn y otras formas a través de nuestros Servicios, incluidos mensajes de texto y notificaciones push. Le enviaremos mensajes sobre la disponibilidad de nuestros Servicios, seguridad u otros problemas relacionados con el servicio. También enviamos mensajes sobre cómo usar nuestros Servicios, actualizaciones de red, recordatorios, sugerencias de trabajo y mensajes promocionales de nosotros y nuestros socios. Puede cambiar sus preferencias de comunicación en cualquier momento. Tenga en cuenta que no puede optar por no recibir nuestros mensajes de servicio, incluidos los avisos legales y de seguridad.

Publicidad

Le mostraremos anuncios llamados contenido patrocinado que se parecen al contenido no patrocinado, excepto que están etiquetados como publicidad (por ejemplo, como “anuncio” o “patrocinado”). Si realiza una acción social (como dar me gusta, comentar o compartir) en estos anuncios, su acción se asocia con su nombre y otros pueden verla, incluido el anunciante. Sujeto a su configuración, si realiza una acción social en los Servicios de LinkedIn, esa acción puede mencionarse con anuncios relacionados. Por ejemplo, cuando le gusta una empresa, podemos incluir su nombre y foto cuando se muestra su contenido patrocinado.

De este modo, es claro que LinkedIn tiene realiza tratamiento de datos personales, en calidad de Responsable del tratamiento, calidad que le impone el cumplimiento de las obligaciones que en ese sentido, contempla nuestra Legislación.

VI. La existencia de riesgos para los derechos y libertades de los individuos frente al tratamiento de sus Datos personales.

Los datos personales pueden ser recogidos por diferentes fuentes, entre ellas: formularios, cookies, aplicaciones móviles, sitios web, redes sociales, registros públicos, programas de fidelización de clientes, etc. Todas estas formas de recolección, entre otras, son manifestaciones de:

1) Datos personales suministrados directamente por los titulares,

2) Datos personales recolectado en cumplimiento de un requisito legal,

3) Datos personales recopilados automáticamente con el uso de un servicio o producto (por ejemplo, datos de transacciones, direcciones IP, datos de ubicación), y

4) Datos personales inferidos mediante el Tratamiento y análisis de los datos suministrados por los individuos o recopilados con el uso del servicio o producto. Estos datos, sin lugar a dudas, también son de gran interés para terceros que no han sido autorizados para el Tratamiento de dicha información.

Si un dato personal es conocido, accedido o sustraído por terceros no autorizados, por ejemplo, piratas cibernéticos, se constituye en sí mismo como un riesgo para los derechos y libertades de los individuos, de gravedad y probabilidades variables. Considerando la cantidad y sensibilidad de la información personal que es recolectada en el ciberespacio mediante diversos mecanismos, procesos y tecnologías, la Corte Constitucional en Sentencia C-748 de 2011 subrayó el deber de los Responsables del Tratamiento de reforzar sus medidas de seguridad para proteger la información personal de los Titulares. Lo anterior como resultado de que “el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre” (15).

VII. Del deber de conservar la información bajo condiciones de seguridad.

La seguridad de la información es una condición crucial del Tratamiento de Datos personales. Recolectada la información, esta debe ser objeto de medidas de diversa índole para evitar situaciones indeseadas que puedan afectar los derechos de los titulares y de los mismos Responsables y Encargados del Tratamiento. El acceso, la consulta y el uso no autorizado o fraudulento, así como la manipulación y pérdida de la información son los principales riesgos, pero no los únicos, que se quieren mitigar a través de medidas de seguridad de naturaleza humana, física, administrativa y/o técnica.

La seguridad de la información ha sido una preocupación del legislador colombiano y la Corte Constitucional. Esta última concluyó que, “debe reiterarse que el manejo de información no pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el Responsable como el Encargado del Tratamiento serán los responsables de los perjuicios causados al Titular” (16).

Las técnicas para la extracción y obtención de valor de datos públicamente accesibles están en constante evolución. De ahí que, la seguridad de los datos es una responsabilidad dinámica y la vigilancia por parte de todos los actores es fundamental.

La extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

Para el efecto, la Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, suscribió una declaración conjunta con otras autoridades de protección de datos sobre esta materia (17). Dentro de las preocupaciones que dicha declaración pone de presente para el debido Tratamiento de Datos Personales, son las siguientes:

1. Ataques cibernéticos dirigidos. Por ejemplo, la información de identidad y contacto extraída que se publica en “foros de piratería” puede ser utilizada por actores maliciosos en ataques de ingeniería social dirigidos o ataques de phishing.

2. Suplantación. Los datos extraídos pueden utilizarse para enviar solicitudes fraudulentas de préstamos o tarjetas de crédito, o para suplantar a la persona creando cuentas falsas en redes sociales.

3. Monitoreo, perfilamiento y vigilancia de individuos. Los datos extraídos pueden utilizarse para generar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a terceros.

4. Marketing directo no deseado. Los datos extraídos pueden incluir información de contacto que se puede utilizar para enviar mensajes de marketing no solicitados a granel.

Ahora bien, dado que ninguna única medida de seguridad protegerá adecuadamente, contra todos los posibles daños a los Titulares asociados con la extracción de datos, los Responsables y Encargados del Tratamiento de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), deben implementar medidas técnicas, humanas y administrativas para mitigar los riesgos. Aquellas medidas pueden incluir, pero no limitarse, a las siguientes:

* Designar un equipo y/o roles específicos dentro de la organización para identificar e implementar controles para proteger contra la extracción de datos, monitorearla y responder a las actividades de extracción.

* Limitar la “velocidad de acceso” a otros perfiles por parte de una cuenta a un número determinado de visitas por hora o día, y limitar el acceso si se detecta actividad inusual.

* Supervisar la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios. Si se detecta una actividad anormalmente alta, esto podría ser indicativo de un Tratamiento sospechoso.

* Tomar medidas para detectar a los extractores de datos identificando patrones de actividad de “bots5”. Por ejemplo, se pueden detectar un grupo de direcciones IP sospechosas al monitorear desde dónde se está accediendo a una plataforma utilizando las mismas credenciales desde múltiples ubicaciones. Esto sería sospechoso si estos accesos ocurren en un corto período de tiempo.

* Tomar medidas para verificar si un extractor de datos es un “bot”, por ejemplo, mediante el uso de CAPTCHAs, y bloquear la dirección IP donde se identifica la actividad de extracción de datos.

* Cuando se sospecha y/o confirma la extracción de datos, tomar medidas legales apropiadas, como el envío de cartas de “Cese y Desistimiento”, exigir la eliminación de la información extraída, obtener confirmación de la eliminación y tomar otras medidas legales para hacer cumplir los términos y condiciones que prohíben la extracción de datos.

Por su parte, esta Autoridad ha sido enfática en afirmar que, bajo el ordenamiento jurídico de nuestro país, la información personal que es “públicamente disponible”, “accesible al público” no es, per se, información “de naturaleza pública“. El hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma.

Por su parte, la seguridad de los datos personales no se limita a situaciones de infiltración o burla de las medidas de seguridad que han implementado los Responsables y Encargado del Tratamiento. La Ley 1581 de 2012 va más allá porque exige lo siguiente:

“ARTÍCULO 4º. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

(…)

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 17. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 18. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (…)”.

Nótese que la redacción del principio de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables y Encargados del Tratamiento a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información. Es preciso aclarar que la implementación de las medidas de seguridad por parte de los Responsables y Encargados del Tratamiento no está supeditada o condicionada a que exista un daño o perjuicio de los derechos o intereses que se buscan proteger con la Ley 1581 de 2012. El solo hecho de tratar datos personales es suficiente. Una interpretación en sentido contrario no solo iría en contra de la naturaleza preventiva que se deriva expresamente de los textos legales citados, sino que privaría a los colombianos de la capacidad de exigir a los Responsables y Encargados que aseguren un nivel adecuado de protección en relación con sus datos.

VIII. De la facultad que tiene la Superintendencia de Industria y Comercio para emitir órdenes en relación con el debido Tratamiento de Datos Personales.

Ley Estatutaria 1581 de 2012 expresamente faculta a esta entidad para emitir órdenes o impartir las instrucciones que considere necesarias para que el Tratamiento de Datos personales se realice conforme con lo dispuesto en la ley. En el artículo 19 de esta ley, se le otorgó competencia a esta entidad, a través de la Delegatura para la Protección de Datos Personales, para ejercer: “(…) la vigilancia necesaria para garantizar que en el tratamiento [sic] de datos [sic] personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.”

Asimismo, su artículo 21 determina cuáles funciones ejercerá la Superintendencia de Industria y Comercio, en virtud de la competencia conferida por el artículo 19 mencionado:

a. “Velar por el cumplimiento de la legislación en materia de protección de datos [sic] personales;

b. “Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas [sic] data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos [sic], la rectificación, actualización o supresión de los mismos;

(…)

e. “Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;”.

No sobra traer a colación que, el artículo 21 fue declarado exequible por la Corte Constitucional mediante la Sentencia C-748 de 2011, la cual en su numeral 2.20.3, expresa:

“Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la protección de datos.”.

Así, la ley colombiana faculta a la Superintendencia de Industria y Comercio no solo para emitir órdenes o instrucciones sino para exigir el debido Tratamiento de los Datos personales a compañías como la investigada.

SEXTO: Sin perjuicio de todo lo anterior, destacamos las siguientes CONCLUSIONES:

1. El sitio web de LinkedIn recolecta la siguiente información: “nombre, dirección de e-mail o número móvil (…) información de pago (por ejemplo, la tarjeta de crédito) (…) educación, experiencia laboral, aptitudes, una fotografía”.

2. El sitio web de LinkedIn emplea diversas tecnologías para recolectar y almacenar la información, entre las que se incluyen cookies, balizas web y etiquetas de anuncios.

3. El sitio web de LinkedIn usa “cookies” para recolectar o tratar datos personales en el territorio de la República de Colombia. Por ende, debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias.

En otras palabras, el tratamiento de datos personales que realiza el sitio web de LinkedIn está sujeto a la legislación de la República de Colombia, toda vez que recolecta información de ciudadanos y residentes que se encuentran en el territorio nacional. Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable al sitio web de LinkedIn porque acopia o captura Datos Personales por medio de cookies que instala en dispositivos móviles y ubicados en la República de Colombia.

4. La seguridad de la información es una condición crucial del tratamiento de datos personales. Una vez recolectados deben ser objeto de medidas de diversa índole para evitar situaciones indeseadas que pueden afectar los derechos de los titulares.

5. LinkedIn ha reconocido algunas fallas de seguridad y ha adoptado medidas para subsanarlas. No obstante, conforme a lo observado en la respuesta al requerimiento obrante en el expediente, aún subsisten algunas falencias. Dado lo anterior, esta Entidad considera necesario emitir órdenes administrativas de carácter preventivo para garantizar el principio y el deber de seguridad.

SÉPTIMO: Una orden administrativa no es una sanción, sino una medida necesaria para la adecuación de las actividades u operaciones de los Responsables del Tratamiento a las disposiciones de la regulación colombiana sobre protección de datos personales. Las sanciones por infringir la Ley Estatutaria 1581 de 2012 -multas, suspensión de actividades, cierre temporal o definitivo- están previstas en el artículo 23 de dicha norma. Allí se puede constatar que las órdenes no son sanciones.

OCTAVO: Que para garantizar el debido tratamiento de los datos de las personas residentes o domiciliadas en la República de Colombia es necesario emitir varias órdenes a las compañías LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY.

En mérito de lo expuesto, este Despacho.

RESUELVE

ARTÍCULO 1. ORDENAR a LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY, (en adelante LINKEDIN), implementar medidas y procedimientos para la adecuación de sus operaciones en la República de Colombia a las disposiciones de la Ley 1581 de 2012, las cuales deberán contener, como mínimo los siguientes estándares:

1) Mejorar o robustecer las medidas de seguridad que ha implementado a la fecha de expedición de la presente resolución para garantizar la seguridad de los Datos personales, evitando su:

i) acceso no autorizado o fraudulento;

ii) uso no autorizado o fraudulento;

iii) consulta no autorizada o fraudulenta;

iv) adulteración o

v) pérdida.

2) Desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los Datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad e indicadores de cumplimiento y tener en cuenta, como mínimo, lo siguiente: a) Los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;

a) El tamaño y la complejidad de las operaciones de LinkedIn;

b) La naturaleza y el ámbito de las actividades de LinkedIn;

c) La cantidad de Titulares;

d) La naturaleza de los datos personales;

e) El tipo de tratamiento de los Datos personales;

f) El alcance, contexto y fines del Tratamiento;

g) Las actualizaciones o cualquier tipo de modificación de la plataforma de LinkedIn, sus productos cualquier otra forma en que LinkedIn utilice, recopile, comparta o trate los datos recolectados;

h) El acceso a los Datos personales por parte de los empleados, contratistas y en general los colaboradores de LinkedIn;

i) El uso de los Datos personales de los usuarios por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de aplicaciones, si aplica;

j) El uso innovador o aplicación de nuevas soluciones tecnológicas;

k) Los riesgos internos y externos para la seguridad, confidencialidad y disponibilidad de los Datos personales; y

l) Los riesgos para los derechos y libertades de los Titulares.

3) Desarrollar, implementar y mantener un programa de gestión y manejo de incidentes de seguridad en datos personales, que contemple procedimiento para información sin dilación indebida a esta Superintendencia de Industria y Comercio y a los Titulares de cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos personales.

4) Desarrollar, implementar y mantener un programa de capacitación y entrenamiento rutinario para sus empleados y contratistas sobre su política de seguridad de la información, su política de gestión de incidentes de seguridad de datos y su Política de Tratamiento de Datos personales (o privacidad).

5) Poner en marcha un sistema de monitoreo permanente para verificar si, en la práctica, sus medidas de seguridad son útiles, suficientes o si están funcionando correctamente. En caso de que ello no sea así, adoptar las medidas necesarias para garantizar la seguridad de la información.

6) LinkedIn deberá efectuar una auditoría independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo, y cada año después de dicha fecha durante los próximos cinco (5) años, certificar a esta entidad que cuenta con las medidas técnicas, humanas, administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

ARTÍCULO 2: LinkedIn deberá cumplir lo ordenado en esta resolución dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo y acreditar ante la Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio las medidas y procedimientos adoptados dentro de los cinco (5) días siguientes al vencimiento de dicho término.

Parágrafo primero: Para demostrar el cumplimiento, LinkedIn deberá remitir, al finalizar dicho plazo, una certificación emitida por una entidad o empresa, nacional o extranjera, independiente, imparcial, profesional y especializada que acredite que se han implementado las medidas ordenadas por esta Dirección y que estas se encuentran operando con suficiente efectividad para proporcionar el grado de seguridad que exige el principio y deber de seguridad de la Ley Estatutaria 1581 de 2012 respecto de los Datos personales.

Parágrafo segundo: La entidad o empresa que emita el certificado será seleccionada por LinkedIn pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y sea ajena a cualquier tipo de subordinación respecto de LinkedIn.

Parágrafo tercero: La entidad o empresa certificadora deberá ser autorizada por la autoridad competente del país de su domicilio, sólo en el caso que la regulación correspondiente exija dicha autorización para poder emitir certificaciones. Si en dicho país no se exige lo anterior, bastará con que aquella sea independiente, imparcial, profesional y especializada en temas de seguridad de la información.

ARTÍCULO 3. NOTIFICAR el contenido de la presente resolución a LinkedIn, informándole que contra el presente acto administrativo procede recurso de reposición ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales, dentro de los diez (10) días siguientes a la diligencia de notificación.

ARTÍCULO 4: La Superintendencia de Industria y Comercio se permite recordar que los canales habilitados para que los investigados ejerzan sus derechos, den respuesta a requerimientos, interpongan recursos, entre otros, son:

– Correo Superindustria: [email protected]

– Sede Principal: Carrera 7 No. 31A – 36, Pisos 3 y 3A, en la ciudad de Bogotá, de lunes a viernes de 8:00 a.m. a 4:30 p.m.

NOTIFÍQUESE Y CÚMPLASE

Dada en Bogotá D. C., 15 de noviembre de 2023

El DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES,

CARLOS ENRIQUE SALAZAR MUÑOZ

————————————————–

(1) De acuerdo con lo informado en la Política de Privacidad de Linkedin, quien actúa como Responsable del tratamiento respecto a la información tratada por fuera de los países que conforman la Unión Europea, Espacio Económico Europeo y Suiza es la sociedad Linkedin Corporation.

(2) “El scraping de datos, de un modo general, se refiere a una técnica en la cual un programa informático extrae datos del resultado generado por otro programa. El scraping de datos se manifiesta normalmente en el scraping web, el proceso de utilizar una aplicación para extraer información valiosa de un sitio web”. Tomado de https://www.cloudflare.com.

(3) Cualquier publicación en internet viaja rápidamente y puede dejar una huella permanente. Es por esta razón que se debe ser cuidadoso con el tipo de información que se comparte en internet, pues los Datos de cada persona tienen valor y pertenecen únicamente a los Titulares de la información.

(4) Constitución Política de Colombia. Artículo 15.

(5) El artículo 15 de la Constitución de la República de Colombia dice, entre otras, lo siguiente: “Todas las personas tienen derecho a (…) conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

(6) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Disponible en: http://www.corteconstitucional.gov.co/relatoria/2011/c-748-11.htm

(7) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Consideración 2.4.4.

(8) La AEPD concluyó lo siguiente: “la Agencia Española de Protección de Datos también es competente para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD“ (AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Resolución R/02892/2013 del 19 de diciembre de 2013. Procedimiento sancionador PS/00345/2013 instruido a las entidades Google Inc. y Google Spain, S.L. Madrid, España).

La parte pertinente de la regulación española – Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal– sobre su ámbito de aplicación dice lo siguiente:

“Artículo 2 Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. (…)”.

(9) Obtenido de la Política de Cookies alojada en el enlace https://es.Linkedin.com/legal/cookie-policy?

(10) “Dicho reconocimiento genera al mismo tiempo la responsabilidad en cabeza del extranjero de atender cabal y estrictamente el cumplimiento de deberes y obligaciones que la misma normatividad consagra para todos los residentes en el territorio de la República pues, así lo establece, entre otras disposiciones, el artículo 4º. inciso segundo de la Carta (…)”. Corte Constitucional, Sentencia C-1259 de 2001

(11) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(12) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(13) De acuerdo con la información alojada en el enlace https://about.linkedin.com/es-es

(14) Obtenido del sitio web: https://www.linkedin.com/legal/privacy-policy?src=direct%2Fnone&veh=direct%2Fnone#data

(15) República de Colombia. Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011. Considerando 2.6.5.2.7

(16) Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011.

(17) El documento oficial se encuentra disponible para su visualización en el enlace https://ico.org.uk/media/about-the-ico/documents/4026232/joint-statement-data-scraping-202308.pdf

25Ago/24

Circular externa nº 003/2024 de 22 agosto de 2024

Circular externa nº 003/2024 de 22 agosto de 2024, de la Superintendencia de Industria y Comercio de Colombia, Instrucciones para los administradores societarios en relación con el Tratamiento de Datos personales.

Superintendencia de Industria y Comercio

CIRCULAR EXTERNA nº 003 de 2024

Para: Administradores de entidades vigiladas por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales.

Asunto: Instrucciones para los administradores societarios en relación con el Tratamiento de Datos personales.

Consideraciones

El artículo 2 de la Constitución Política de Colombia señala como uno de los fines esenciales del Estado: “garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución”. Se desprende de ello, la exigencia tanto a particulares como a autoridades de garantizar resultados concretos para materializar el conjunto de las disposiciones Constitucionales, legales y reglamentarias, entre las que se encuentran las relacionadas con la protección al Habeas Data y con el debido Tratamiento de Datos personales previstos en el artículo 15 de la Constitución.

El artículo 333 de la Constitución Política de Colombia establece que “la actividad económica y la iniciativa privada son libres, dentro de los límites del bien común”. Dicho mandato Constitucional resalta que la “libre competencia económica es un derecho de todos que supone responsabilidades” y que la “empresa, como base del desarrollo, tiene una función social que implica obligaciones”. Dentro de tales obligaciones se encuentran aquellas que permiten materializar los derechos de los Titulares de los Datos personales.

Cuando la forma jurídica escogida para desarrollar una actividad empresarial es una sociedad, los administradores de esta cumplen un papel esencial para el cumplimiento de tales obligaciones. Parte de esas disposiciones legales incluyen las normas sobre Tratamiento de Datos personales, como lo son, entre otras, las leyes estatutarias 1266 de 2008, 1581 de 2012, 2157 de 2021 y sus decretos reglamentarios (1). Así, siendo el Tratamiento de Datos personales parte de la actividad de las empresas, los administradores societarios están obligados a actuar con la diligencia de un buen hombre de negocios velando por el estricto cumplimiento de las disposiciones legales y reglamentarias.

La Corte Constitucional, en la sentencia C-123 de 2006, resalta la importancia de los administradores debido al impacto que tienen en el orden social y económico de país.

“Puede concluir la Corte, que en materia de sociedades, dada Ia importante labor que desempeñan sus administradores, en razón a la gran responsabilidad que asumen y la repercusión que sus actuaciones pueden tener en el desarrollo social, ha sido la ley la que les ha impuesto de manera general a éstos, ejercer sus funciones con sujeción a los principios de lealtad y buena fe, así como actuar con la diligencia de un buen hombre de negocios, en interés de la sociedad y teniendo en cuenta los intereses de sus asociados. En tal medida, la actuación de los administradores debe ir más allá de la diligencia común y corriente, pues su gestión profesional de carácter comercial debe orientarse al cumplimiento de las metas propuestas por la sociedad”.

En materia de Tratamiento de Datos personales impera como regla de responsabilidad el deber de responsabilidad demostrada o “accountability’, el cual exige a los administradores societarios adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación. Lo anterior, se ve materializado en el artículo 19A de la Ley Estatutaria 1266 de 2008, que establece: “Los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios deben ser capaces de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en la Ley 1266 de 2008. Y, a su vez, en el artículo 26 del Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) al establecer que: “Los Responsables del Tratamiento de Datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto”.

El literal e) del del artículo 3 de la Ley Estatutaria 1581 de 2012 define al Responsable del Tratamiento como “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Por su parte, la Corte Constitucional, en Sentencia C-748 de 2011, al revisar la Constitucionalidad de la definición de Responsable del Tratamiento, estableció que:

“(…) no basta con que una ley o un contrato señalen expresamente que una determinada persona o grupo de personas son Responsables del Tratamiento, por cuanto en cada caso corresponderá analizar el contexto de las actuaciones de los agentes concernidos en el Tratamiento del dato para establecer su verdadera posición y, en este orden, sus obligaciones y régimen de responsabilidad. En ese orden de ideas, corresponderá a la autoridad competente de asegurar la vigilancia, control y garantía del dato personal, examinar la posición que ocupa cada agente en el Tratamiento del dato, en especial, porque como Io señala la misma definición de Responsable y de encargado del Tratamiento, éstos pueden estar constituidos por una pluralidad de sujetos que pueden tener distintos grados de responsabilidad.

Finalmente, como ejemplifica la Directiva referida —ejemplos que la Sala considera también son aplicables a nuestro caso, el Responsable del Tratamiento puede surgir:

(i) cuando en el cumplimiento de una determinada función, se impone la recolección de datos, por ejemplo, en el caso de la seguridad social; la directiva en comento denomina esta situación competencia legal explicita;

(ii) cuando en el ámbito propio de la actividad se produce el Tratamiento, se trata del caso de los empleadores frente a sus trabajadores, lo que se denomina competencia jurídica implicita; y

(iii) cuando sin existir las competencias anteriores, se tiene la capacidad de determinación, hecho que se denomina capacidad de influencia de hecho.” (2).

Así, siguiendo el alcance de la definición de “Responsable del Tratamiento”, los administradores societarios serán corresponsables del Tratamiento cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de Tratamiento específicas, o bien los fines o bien aquellos elementos esenciales de los medios que caracterizan al Responsable del Tratamiento.

En materia de datos personales, la Superintendencia de Industria y Comercio tiene entre las funciones asignadas por la Ley Estatutaria 1581 de 2012, las de “velar por el cumplimiento de la legislación en materia de protección de datos personales” e “impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley” (3)

Las circulares no tienen como propósito repetir exactamente lo que la ley dice. Las circulares son instrumentos normativos para ampliar y actualizar nociones jurídicas. Las circulares tienen la vocación de dar alcance a lo establecido en la norma y ampliar, actualizar y adaptar el marco de aplicación como poder instructivo de la administración a luz de las facultades otorgadas por la Ley Estatutaria 1581 de 2012 a la Autoridad de datos personales. Justamente, afirma la Función Pública que “Las circulares deben expresar el criterio jurídico o interpretación que un Órgano administrativo formula en textos un tanto complejos sobre la legislación que aplica” (4). La naturaleza jurídica de los datos personales están determinada por cambios tecnológicos constantes, cambios sociales y practicas nuevas de las empresas. El rol de la Autoridad es responder a los nuevos desafíos jurídicos con un alto grado de especificidad y tecnicismo, buscando desarrollar un marco de Protección integral y reforzado al derecho fundamental al Habeas Data.

Por su parte, el numeral 55 del artículo 1° del Decreto 092 de 2022 señala que la Superintendencia de Industria y Comercio tiene la función de impartir instrucciones en materia de administración de datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.

Conductas y deberes de los administradores

La Superintendencia de Industria y Comercio instruye a los administradores societarios de entidades bajo nuestra vigilancia, acerca del alcance de las obligaciones en el Tratamiento de Datos personales, como se indica a continuación:

I. Los administradores están obligados al cumplimiento de los establecido por la regulación relativa a la protección de datos personales.

II.  Las Políticas Internas Efectivas (5) que establezcan los administradores para garantizar el debido Tratamiento de Datos personales en la actividad económica deben ser objeto de monitoreo y control para garantizar su cumplimiento.

III. |La adopción de mecanismos internos para hacer cumplir las Políticas Internas Efectivas, incluyendo herramientas de implementación, entrenamiento y programas de sensibilización, deben ser conocidas y promovidas por los administradores. Para lograr estos objetivos, se puede:

i) designar a la persona o al área que asumirá la función de protección de Datos personales dentro de la organización;

ii) aprobar y verificar el real y efectivo cumplimiento de un manual interno de Políticas y procedimientos (6) para garantizar el adecuado cumplimiento de las normas;

iii) establecer canales de comunicación que le permitan a la persona o al área responsable informar de manera periódica a los administradores sobre la ejecución de las Políticas Internas Efectivas de la organización.

IV. Los administradores deben establecer los lineamientos corporativos adecuados para adoptar medidas precautorias o preventivas para proteger los derechos de los titulares de Datos personales, como lo son, por ejemplo, los estudios de impacto de privacidad (7).

Los estudios de impacto de privacidad podrían incluir, como mínimo, lo siguiente:

1. Una descripción detallada de las operaciones de Tratamiento de Datos personales.

2. Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales. En la evaluación de riesgos se espera, por lo menos, la identificación y clasificación estos.

3. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la Protección de Datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.

V. Los administradores deben establecer los lineamientos para fortalecer continuamente las medidas de seguridad de la información. En especial, el manual interno de Políticas debería involucrar un componente de gestión de riesgos que le permita a la empresa identificar sus vulnerabilidades a tiempo y enfocar sus recursos en la adopción de las medidas de mitigación de riesgos, tanto para ellas como para los Titulares de la Información (8).

En armonía con las normas citadas y la jurisprudencia Constitucional, los administradores societarios serán corresponsables del Tratamiento cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de Tratamiento específicas, los fines o los medios sobre la base de datos y/o el Tratamiento de los datos.

De esa manera, estas instrucciones armonizan las anteriores normas para garantizar el fin Constitucional de una efectiva protección del derecho al Habeas Data y al debido Tratamiento de datos personales.

Cordialmente,

CIELO ELAINNE RUSINQUE URREGO

SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

(1) Téngase presente: Decreto 2952 de 2010 (incorporado en el Decreto único Reglamentario 1074 de 2015), Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) y el Decreto 255 de 2022.

(2) Sobre el particular la Corte Constitucional trae a colacién el Dictamen 1/2010 sobre los conceptos de «Responsable del tratamiento» y «encargado del tratamiento» del Grupo del Artículo 29 sobre Proteccidn de Datos. Documento disponible en:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_es.pdf#:~:text=Dictamen%201%2F2010%20sobre%20los %20conceptos%20de%20%C2%ABResponsable%20del,protecci*C3%B3n%20de%20datos%20y%20derecho%20a%20la%20intimidad.

(3) Literales a) y e) del artículo 21 de la Ley Estatutaria 1581 de 2012.

(4) Concepto 100921 de 2021 Departamento Administrativo de la Función Pública del 23 de marzo del 2021.

(5) Artículo 27 del Decreto 1377 de 2013 (incorporado en el Decreto Unico Reglamentario 1074 de 2015).

(6) El literal k) de la Ley Estatutaria 1581 de 2012 establece el deber de “Adoptar un manual interno de Políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos’”.

(7) Previo al diseño y desarrollo del proyecto de cualquier organización, y en la medida en que sea probable que el mismo entrañe un alto riesgo de afectación del derecho a la Protección de Datos personales de los Titulares, se sugiere efectuar una evaluación de impacto en la con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos para garantizar que los datos se trataran debidamente y conforme con la regulación existente.

(8) Esta Superintendencia de Industria y Comercio ha puesto a disposición de los sujetos obligados la “GUIA PARA LA GESTION DE INCIDENTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALESDATOS PERSONALES?”. Para mayor detalle en la materia:

https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia_gestion_incidentes dic21 2020.pdf

11Ago/21

Resolución Ministerial nº 0326-2020-JUS, de 23 de diciembre de 2020

Resolución Ministerial nº 0326-2020-JUS, de 23 de diciembre de 2020, que aprueba Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales.

Lima, 23 de diciembre de 2020

VISTOS, el Informe n° 15-2020-JUS/DGTAIPD, de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; el Informe Legal n° 119-2020-JUS/DGDNCR, de la Dirección General de Desarrollo Normativo y Calidad Regulatoria; el Informe n° 412-2020-JUS/OGPM-OPRE, de la Oficina General de Planeamiento, Presupuesto y Modernización; y, el Informe n° 993-2020-JUS/OGAJ, de la Oficina General de Asesoría Jurídica, y

CONSIDERANDO:

Que, el numeral 6 del artículo 2 de la Constitución Política del Perú dispone que toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar;

Que, la Ley n° 29733, Ley de Protección de Datos Personales, tiene por objeto garantizar el derecho fundamental a la protección de datos personales, previsto en el numeral 6 del artículo 2 de la Constitución Política del Perú, estableciendo en su artículo 32 que la Autoridad Nacional de Protección de Datos Personales es el órgano competente para realizar todas las acciones necesarias para garantizar el cumplimiento de la Ley y su Reglamento, aprobado por Decreto Supremo nº 003-2013-JUS, para lo cual goza de potestad sancionadora, de conformidad con la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces;

Que, de acuerdo al artículo 38 de la citada Ley, las infracciones se clasifican en leves, graves y muy graves, las cuales son tipificadas vía reglamentaria; siendo que, conforme al artículo 39, la Autoridad Nacional de Protección de Datos Personales determina la infracción cometida y el monto de la multa imponible mediante resolución debidamente motivada, tomando en cuenta el criterio de razonabilidad establecido en el numeral 3 artículo 248 del Texto Único Ordenado de la Ley n° 27444, Ley del Procedimiento Administrativo General, y lo señalado en los artículos 125 y 126 del Reglamento de la Ley n° 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo n° 003-2013-JUS;

Que, conforme al literal d) del artículo 6 de la Ley n° 29809, Ley de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, el Ministerio es competente para emitir normas y lineamientos técnicos para la adecuada ejecución y supervisión de las políticas nacionales, la gestión de los recursos del sector, así como para el otorgamiento y reconocimiento de derechos, la sanción, fiscalización y ejecución coactiva en las materias de su competencia;

Que, de acuerdo al literal h) del artículo 7 de la mencionada Ley, el Ministerio de Justicia y Derechos Humanos, en el marco de sus competencias específicas, ejerce la Autoridad Nacional de Protección de Datos Personales a que se refiere la Ley n° 29733;

Que, de acuerdo con el artículo 70 y el literal b) del artículo 71 del Reglamento de Organización y Funciones del Ministerio de Justicia y Recursos Humanos, aprobado por Decreto Supremo n° 013-2017-JUS, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, ejerce la Autoridad Nacional de Protección de Datos Personales, teniendo entre sus funciones, proponer políticas y proyectos normativos en materia de su competencia;

Que, asimismo, de conformidad con los literales a) y d) del artículo 74 del citado Reglamento de Organización y Funciones, es función de la Dirección de Protección de Datos Personales, resolver los procedimientos administrativos sancionadores e imponer multas coercitivas;

Que, se considera necesario contar con una metodología para el cálculo de multas en materia de protección de datos personales, a fin de brindar a los administrados pautas y criterios uniformes, predecibles y objetivos sobre cómo se calculan las multas por la comisión de infracciones a la normativa de protección de datos personales y así garantizar el principio de predictibilidad o de confianza legítima, coadyuvando a que la labor sancionadora de la Autoridad Nacional de Protección de Datos Personales se realice con arreglo al principio de razonabilidad que rige el procedimiento sancionador; así como, desincentivar la comisión de infracciones, permitiendo prever la cuantía de las multas a aplicar por violación de la normativa de protección de datos personales;

Que, con Resolución Ministerial n° 0412-2019-JUS, se dispuso la publicación del proyecto de Metodología para el Cálculo de Multas en materia de Protección de Datos Personales, el proyecto de Resolución que la aprueba, y la Exposición de Motivos, en el Portal Institucional del Ministerio de Justicia y Derechos Humanos – MINJUSDH;

Que, mediante Informe n° 15-2020-JUS/DGTAIPD, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, presenta el proyecto definitivo de Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales, luego de haber procesado y sistematizado los comentarios, observaciones y sugerencias recibidos, conforme lo dispuesto en la Resolución Ministerial n° 0412-2019-JUS;

Que, con Informe Legal n° 119-2020-JUS/DGDNCR, la Dirección General de Desarrollo Normativo y Calidad Regulatoria, considera que el proyecto definitivo de Metodología para el Cálculo de Multas en materia de Protección de Datos Personales resulta viable;

Que, con Informe n° 993-2020-JUS/OGAJ, la Oficina General de Asesoría Jurídica, opina que es legalmente viable la emisión de la Resolución Ministerial que apruebe la Metodología para el Cálculo de Multas en materia de Protección de Datos Personales;

Con el visado del Despacho Viceministerial de Justicia; de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; de la Oficina General de Planeamiento, Presupuesto y Modernización; y, de la Oficina General de Asesoría Jurídica;

De conformidad con la Ley n° 29733, Ley de Protección de Datos Personales; la Ley n° 29158, Ley Orgánica del Poder Ejecutivo; la Ley n° 29809, Ley de Organización y Funciones del Ministerio de Justicia y Derechos Humanos; el Decreto Supremo n° 001-2009-JUS, que aprueba el Reglamento que establece disposiciones relativas a la publicidad, publicación de Proyectos Normativos y difusión de Normas Legales de Carácter General; y, el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo n° 013-2017-JUS;

SE RESUELVE:

Artículo 1.- Aprobación de la Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales

Aprobar la Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales, que en Anexo forma parte integrante de la presente Resolución.

Artículo 2.- Ámbito de aplicación

La Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales se aplica a cualquier persona natural, jurídica o entidad pública que realice tratamiento de datos personales independientemente del soporte en el que se encuentre.

Artículo 3.- Vigencia de la Metodología

Disponer que la Metodología que se aprueba mediante la presente Resolución entra en vigencia a los treinta (30) días calendario contados a partir del día siguiente de su publicación, fecha en la cual será de aplicación a todos los procedimientos sancionadores de la Autoridad Nacional de Protección de Datos Personales, incluyendo aquellos que se encuentren en trámite.

Artículo 4.- Publicidad

Disponer la publicación de la presente Resolución y su Anexo, en el Portal Institucional del Ministerio de Justicia y Derechos Humanos – MINJUSDH ( https://www.gob.pe/minjus), en la misma fecha de su publicación en el Diario Oficial El Peruano.

Regístrese, comuníquese y publíquese.

EDUARDO VEGA LUNA, Ministro de Justicia y Derechos Humanos

12May/21

Proyecto de Ley “de Protección de Datos Personales” 30 de abril de 2021.

PROYECTO-D-2162170. Presentación oficial del Proyecto de Ley “de Protección de Datos Personales” de la República del Paraguay, durante un evento organizada por la Comisión de Ciencia y Tecnología de la Cámara Baja el viernes 30 de abril de 2021.

Asunción, 30 de abril de 2021.-

Señor

Pedro Hércules Alliana Rodríguez, Presidente

Honorable Cámara de Diputados

Presente

De nuestra más distinguida consideración

Los abajo firmantes, Diputados Nacionales, nos dirigimos a Vuestra Honorabilidad y por su intermedio a los Miembros de la Honorable Cámara de Diputados para elevar a consideración el Proyecto de Ley de Protección de Datos Personales en Paraguay, en virtud del Artículo 203 de la Constitución Nacional.

El presente proyecto de ley tiene por objeto reglamentar los aspectos relativos a la “Protección General de los Datos Personales en la República del Paraguay”.

En espera de que la presente iniciativa legislativa tenga el tratamiento favorable y oportuno, hacemos propicia la oportunidad para saludar al Señor Presidente con el mayor respeto y consideración.

Se adjunta proyecto cuyos firmantes son los siguientes Diputados Nacionales;

1- Sebastián García

2- Edwin Reimer

3- Carlos Maria López

4- Kattya González

5- Sebastián Villarejo

6- Basilio Nuñez

7- Edgar Acosta Alcaraz

8- Antonio Buzarquis

EXPOSICIÓN DE MOTIVOS

Este proyecto de ley viene a llenar el actual vacío legal sobre una ley de protección de datos personales adecuada, integral y moderna. Con la derogación de la Ley 1682/2001 y sus leyes modificatorias, por la Ley nº 6534/2020 de Protección de Datos Personales Crediticios, se deja sin protección a los datos personales en general.

Este proyecto de ley enmarca la protección de datos personales como un derecho inherente a cada persona física, en relación al tratamiento de sus datos, ya sea a través de entes públicos o privados, con fines lucrativos o no, a través de cualquier medio de transmisión o divulgación existentes, incluyendo tecnologías existentes y nuevas tecnologías a ser desarrolladas.

Por ende, el proyecto de ley prevé ocuparse del tratamiento integral de datos personales, que constituye una asignatura pendiente. La visión integral resulta necesaria atendiendo a que los datos personales no son únicamente datos crediticios, sino que abarcan diversas facetas del individuo. La persona física debe tener el control de sus propios datos personales de manera eficaz para evitar una lesión en sus derechos más fundamentales.

La recopilación, procesamiento y comunicación inadecuada de datos personales puede significar una vulneración a derechos como la vida, la salud, la integridad física, psicológica o sexual, entre muchos otros; lesiones que ya se han familiarizado con la realidad paraguaya e internacional. Por ejemplo, se pueden alterar elecciones, determinar quién recibe servicios de salud o alimenticios, además de utilizar para trata de personas, narcotráfico, terrorismo, robo, ataque, o incluso exposiciones ilegítimas de bases de datos de carácter público o privado, generado grandes perjuicios sociales y económicos.

En Paraguay se volvió una práctica común que los abonados a servicios móviles, reciban innumerables mensajes o llamadas o para el ofrecimiento de cambio de aparatos celulares, créditos, planes de wi-fi, seguros odontológicos y un sinfín de ofertas, sin conocer cómo empresas con las que nunca tuvieron vínculo comercial obtienen su información. Toda esa información personal, puede ser tratada y abusada sin consentimiento, por falta de una regulación integral y por la falta de una autoridad de control independiente y efectiva.

La legislación nacional vigente es inadecuada y no ha sido actualizada según los usos modernos que se hacen de los datos y el desafío que esto representa. El creciente volumen y uso de datos personales, junto con la aparición de tecnologías que habilitan nuevas maneras de tratamiento y uso de los mismos, evidencia la importancia de regular un marco efectivo de protección de datos personales.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombró por primera vez a un Relator especial sobre derecho a la privacidad en la era digital en la era digital con la finalidad de que, entre otras tareas, presente informes que incluyan “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones al mismo.

En América Latina, muchas legislaciones han introducido este derecho, tutelándolo legalmente, y creando un órgano contralor de protección de datos. En Paraguay en el año 2001 el Poder Legislativo inició el proceso de regulación específica en la materia, pero aún no se han incorporado al derecho positivo nacional, normas integrales que tutelen el derecho a la autodeterminación informativa de forma eficaz.

La Red Iberoamericana de Protección de Datos (RIPD) adoptó una declaración con motivo de su 6° Encuentro, celebrado en Colombia en mayo de 2008, en la que invitaba a todas las conferencias internacionales en materia de protección de datos, independientemente de su ámbito geográfico, a concentrar sus esfuerzos con vistas a adoptar un instrumento jurídico conjunto.

La Unión Europea ha adoptado un nuevo marco normativo en la materia, con el objetivo de modernizar sus disposiciones y garantizar mayor solidez y coherencia en la protección efectiva del derecho fundamental a la protección de datos personales en la Unión Europea y con el fin de generar confianza en la sociedad en general y, a su vez, facilitar el desarrollo de la economía digital, tanto en su mercado interior como en sus relaciones globales. Este marco se posiciona como un referente obligado y determinante para la elaboración de las legislaciones nacionales de protección de datos en Iberoamérica.

Paraguay no es parte del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal suscrito en el ámbito del Consejo de Europa. Este convenio está abierto a la firma de otros Estados de la región y cabe destacar que Argentina y Uruguay sí lo han suscrito. La sanción de este proyecto de ley posibilitará al Paraguay a formar parte del mismo y dará herramientas para la colaboración internacional en investigación y cooperación.

Tomando en cuenta el acuerdo entre los bloques del Mercosur y la Unión Europea, aspiramos a transformar al Paraguay en un país que brinde un nivel de protección adecuado de acuerdo con los estándares promovidos por la Unión Europea, a efectos de acceder a la transferencia de datos personales desde esta y, con ello, facilitar la inversión de aquellos nichos de mercado que suponen tratamiento de datos provenientes de aquella. La inversión europea es superior en países “adecuados”, con relación a los países que no lo son. Además, estos estándares ayudarán a facilitar el desarrollo de la economía digital, promoviendo la innovación.

Para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección. Esto desalienta el comercio y genera que se prefieran destinos como Argentina, Uruguay, Brasil u otros países que sí cuentan con Ley de Protección de Datos Personales, dando certidumbre y confianza a usuarios, empresas, organizaciones y Estados a través de un marco jurídico sólido.

En el contexto económico mundial, los Estados que no han desarrollado normativa alguna sobre la materia, o tienen normativa incompleta, dispersa o contradictoria, presentan mayor desventaja, no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social.

Antecedentes del proyecto

El texto del proyecto de ley se originó en la Mesa de Trabajo de la Comisión de Ciencia y Tecnología de la Cámara de Diputados, liderado conjuntamente por su Presidente, el Diputado Sebastián García y la Coalición de Datos Personales (www.datospersonales.org.py), formada durante el cuarto Foro de Gobernanza de Internet del Paraguay – IGFPY en el año 2017 (www.igf.org.py).

En dicho foro se trataron temas de privacidad como expediente médico digital, computación en la nube y big data, así como el futuro en Internet en Paraguay. Luego del debate generado en varios de esos paneles se detectó la necesidad de adecuar la legislación nacional vigente que trata los datos personales, para adecuarla a la era de Internet, la economía digital, la Internet de las cosas (IoT) y la inteligencia artificial (IA).

El objetivo principal de la mesa de trabajo fue la redacción de un proyecto de ley sobre protección de datos personales que se adecuara a las nuevas tecnologías y al mundo globalizado, donde cada vez hay más transferencia internacional de datos.

La mesa de trabajo siguió los principios de la gobernanza de Internet, siendo abierto, colaborativo, voluntario, inclusivo y transparente, con la participación de múltiples partes interesadas. Se realizaron webinars de socialización y discusión con 9 expertos regionales y de la Unión Europea sobre datos personales, para debatir el anteproyecto de ley y compartir experiencias de los diferentes actores.

El proyecto de ley resultante está basado en la normativa y los estándares internacionales y se tuvieron en cuenta regulaciones existentes a nivel internacional específicas en la materia, como el Reglamento (UE) 2016/679, y legislación comparada que ha sido sancionada en los últimos años: Ley Orgánica de Protección de Datos de Carácter Personal de España, Anteproyecto de ley de Protección de Datos de Argentina, Lei Geral de Proteção de Dados de Brasil (LGPD), Ley de Protección de Datos Personales de Uruguay, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados de México, Ley de Protección de Datos Personales para el Distrito Federal de México. Así también se tuvieron en cuenta los comentarios de expertos internacionales de la Unidad de datos transfronterizos de la Unión Europea y Access Now. También se incluyeron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos establecidos por la Red Iberoamericana de Protección de Datos.

Además, se recibieron comentarios y contribuciones de la sociedad civil organizada, la comunidad empresarial, representantes del gobierno, del sector técnico y académico y ciudadanos interesados en el tema.

Se tuvieron 3017 visitas en la web www.datospersonales.org.py  y 103 comentarios recibidos en el borrador del proyecto de ley: https://proyecto.datospersonales.org.py/ Todos estos valiosos comentarios y sugerencias han sido debidamente valorados.

El proyecto de ley fue innovador al adoptar una plataforma que permitió una mayor interacción entre los participantes, asegurando que cada contribución fuera vista y comentada por todos los demás usuarios involucrados en el debate, asegurando una mejor sistematización del texto. El resultado de todo este proceso es el Proyecto que hoy se remite para su consideración.

Fundamento Jurídico

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que se encuentra reconocido con rango máximo en la Constitución, artículos 33, 34 y 35 que refieren al derecho a la intimidad, la inviolabilidad de los recintos privados y los documentos identificatorios. El artículo 36 también hace referencia a la inviolabilidad del patrimonio documental y la comunicación privada.

Los datos personales que ampara el precepto constitucional del derecho a la intimidad, son datos absolutamente personalísimos, que sólo pueden pertenecer a un individuo en concreto. Se lo define desde dos pilares: por un lado, el derecho a la protección de datos otorga la potestad a la persona cuyos datos pertenecen, a conocer quién tiene información sobre ella, cuál es dicha información, de dónde proviene y para qué finalidad se van a tratar sus datos. Por otro lado, este derecho se configura como el control sobre el uso que se hace de sus datos personales. Este control es lo que nos permite conocer qué datos nuestros se tratan y de qué manera, y ello conlleva a la necesidad  de protección jurídica sobre los datos personales .

La Doctrina se refiere al derecho de autodeterminación informativa y a controlar la información personal como una nueva dimensión de la tradicional concepción del derecho a la privacidad .

El objeto de protección de datos no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato, sea o no íntimo. Su objeto no es solo la intimidad individual, sino todos los datos de carácter personal, los que identifiquen o permitan identificar a la persona, realizando perfilamientos que podrían causar lesiones a su intimidad.

En Paraguay, existen normas dispersas en diferentes cuerpos legales que protegen aisladamente diferentes aspectos del derecho a la privacidad, y de forma incompleta. Alguna de ellas son: el Código Penal en su Artículo 147 Revelación de un secreto de carácter privado, Artículo 148 Revelación de secretos privados por funcionarios o personas con obligación especial,  Artículo 149 Revelación de secretos privados por motivos económicos; la Ley 4083/2011 “Que crea el programa de acompañamiento y protección a testigos y víctimas en procesos penales” en su Artículo 4º; la Ley 5777/2018 Protección integral a las mujeres contra toda forma de violencia, en su Artículo 9º Confidencialidad; la  Ley 6534/2020 de protección de datos personales crediticios; la Ley n° 5282/14 De Acceso a la Información Pública y Decreto reglamentario 4064/15; la Ley n° 5830/17 Que Prohíbe la publicidad no autorizada por los usuarios titulares de telefonía móvil; la Ley n° 1334/1998 de Defensa del Consumidor, Código Civil y Comercial (cartas o misivas como prueba, al nombre de las personas físicas o jurídicas); la Ley n° 4017/10 de Firma electrónica y Firma Digital; la Ley n°4868/2013 de Comercio Electrónico y su decreto reglamentario n° 1165/14; la Ley n° 861/96 de Bancos y Entidades Financieras; la Ley n° 489 Orgánica del Banco Central y el Código de la Niñez y la Adolescencia. Además, leyes Tributarias y Reglamentaciones como: la Ley n° 125/1991 Nuevo Régimen Tributario, la Ley n° 2421/04 De Reordenamiento Administrativo y de Adecuación Fiscal, la Ley n° 6380/19 de Modernización y Simplificación del Sistema Tributario, la Ley n° 6446 Tipifica Delito de uso de información privilegiada, el Código de Organización Judicial, la Ley n° 1266/1987 Del Registro Civil y modificatorias, la Ley n° 834/96 Código Electoral Paraguayo y sus modificatorias, los Códigos Procesales (normas sobre audiencias o proceso privados, pruebas documentales, consistentes en cartas o misivas, etc.), la Ley n° 6495/19 Autoriza la implementación del sistema de audiencias por medios telemáticos en el Poder Judicial y el Ministerio Público. También leyes contra el Lavado de Dinero como: la Ley n°6399 de Transparencia de Sociedades por Acciones, la Ley n° 6452 Registro Administrativo de Personas y Estructuras Jurídicas y de Beneficiarios Finales, entre otras.

En la actualidad carecemos de una regulación específica, uniforme, consolidada y actualizada en la materia. Esta carencia se hace vital ante la inminente implementación del proyecto de la “Agenda Digital” financiado por el BID. Este proyecto prevé una informatización de procesos públicos y privados nunca antes vista y sin un marco robusto, podría habilitar a vulnerabilidades en detrimento de toda la ciudadanía paraguaya.

Este proyecto de ley es transversal a todos los sectores y en especial a los proyectos de leyes en actual estudio en el Congreso Nacional:  nro. Expediente: D-2059099 “De los servicios de confianza para las transacciones electrónicas, del documento electrónico y los documentos transmisibles electrónicos”, nro. Expediente: S-209516 proyecto de ley “Que crea la historia clínica electrónica y el registro nacional de historias clínicas electrónicas”, nro. Expediente: S-198840 Proyecto de ley “De procedimientos administrativos”.

Finalmente, el reciente acuerdo sobre Comercio Electrónico del Mercosur MERCOSUR/CMC/DEC. nº 15/20, en su artículo 6º habla sobre la protección de datos personales y de la adopción por los Estados partes, de leyes, regulaciones o medidas administrativas que protejan la información de los consumidores del comercio electrónico, actualmente en estudio.  

El objeto de la ley

El objetivo de la ley es crear un marco general y coherente para la protección de datos personales, mediante normas precisas y detalladas para todos los sectores y la creación de una agencia encargada de la supervisión y ejecución de las disposiciones.

Se busca dotar a nuestro país de una legislación más moderna que respete los derechos y garantías establecidos por nuestra Constitución Nacional y que al mismo tiempo se adapte a las nuevas tecnologías y a los cambios regulatorios ocurridos en el derecho comparado durante los últimos años, dotando de seguridad jurídica tanto a los responsables de los tratamientos de datos como a los ciudadanos.

Características de la ley

La protección de datos no se reduce a los datos íntimos, sino a cualquier tipo de dato personal, traspasando su objeto la intimidad personal e imponiendo a terceros deberes como requerir el consentimiento para la recogida y uso de los datos personales, ser informado sobre el destino y poder acceder, rectificar y cancelar los propios datos.

Los principios de protección de datos personales enumerados en el Título II de la presente ley se encuentran en el centro del marco de protección de datos. La codificación efectiva de estos principios exige el desarrollo de un conjunto de derechos de los usuarios, una base jurídica para el tratamiento de datos, medidas de seguridad de datos, mecanismos de supervisión, obligaciones para las entidades que procesen datos, y medidas que habiliten la transferencia de datos a países terceros.

Ningún marco de protección de datos puede estar completo sin un mecanismo robusto de aplicación de la ley. Una ley de protección de datos sería deficiente e inaplicable si no existiera una autoridad que tuviera los poderes y recursos para monitorear su implementación, llevar a cabo investigaciones, y sancionar a las entidades en caso de violaciones de protección de datos.

Los Estándares de Protección de Datos enfatizan en la imperiosa necesidad de que cada Estado iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa. Además, tendrá facultades de supervisión e investigación en materia de protección de datos personales y será encargada de vigilar el cumplimiento de la legislación nacional en la materia.       

Debe además estar dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones.

Por ello se crea, la autoridad de protección de datos y del régimen de reclamaciones y sanciones. Caso contrario, se aumentará la judicialización de disputas para dirimir controversias vinculadas a la protección de datos personales en sede judicial, aumentando los costos transaccionales, y colocando la responsabilidad en los sujetos de derechos para hacer valer dichos derechos, yendo en contra de la tendencia a nivel internacional sobre marcos robustos en materia de protección de datos personales.

Análisis exegético del articulado

El texto del proyecto de ley contiene 10 títulos que hacen referencia a las disposiciones generales, los principios de protección de datos, las bases legales para el tratamiento de datos personales, el tratamiento de datos especiales (casos de datos sensibles, con fines de publicidad, video vigilancia, o en el ámbito de la administración pública o fuerzas de seguridad). También se ocupa de los derechos de los titulares de datos, del responsable y encargado de tratamiento, así como la transferencia internacional de datos personales.

El proyecto se refiere a la protección integral y consagra numerosos principios como el de exactitud (art. 6), licitud (art. 7), finalidad (art. 8), proporcionalidad (art. 9), lealtad (art. 10), transparencia (art. 11), límites a la conservación (art. 12), responsabilidad proactiva (art. 13), seguridad (art. 14) y confidencialidad (art. 15).

En el art. 16 se prevé que el tratamiento de datos personales sólo podrá realizarse en los siguientes casos:

1. con el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos, o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del interesado;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria;

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente.

Por lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

A los efectos de proteger situaciones especiales, la ley se refiere también a los casos en los que pueden utilizarse datos personales con los fines expuestos en el Título IV. También se prevé que los titulares de datos puedan ejercer su derecho a la información (art. 36), acceso a los datos (art. 37), rectificación (art. 38), oposición (art. 39), supresión (art. 40), portabilidad (art. 41) y a no ser objeto de decisiones individuales automatizadas (art. 42).

Se prevé la figura de un responsable y encargado de tratamiento que deberá adoptar las medidas técnicas y organizativas para el cumplimiento de las disposiciones previstas en la ley.

Se legisla sobre la transferencia internacional de datos, considerando la posibilidad de que las informaciones sobre una persona sean requeridas por algún particular o empresa extranjera en el marco de diferentes operaciones, previendo que pueda realizarse si el Estado cuenta con un adecuado nivel de protección de datos personales.

Se dispone la creación de la Agencia de Protección de Datos personales como un ente de derecho público y con facultades de ejercer acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de datos (art. 62).

Finalmente, se prevé el régimen de reclamaciones, faltas e imposición de sanciones.

Conclusión

El régimen de protección integral resulta necesario para la protección de los derechos de los habitantes del país y sus datos, brindándoles una protección adecuada equiparable a la de otros países de la región. Más aún, en el marco de una constante innovación tecnológica, el incremento del libre flujo de los datos personales que, en una economía global y digital, sobre los cuales se erigen las economías de los Estados.

En virtud de los antecedentes citados, y dada la urgencia de legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

Por los motivos que hemos desarrollado, solicitamos a las señoras diputadas y a los señores diputados que acompañen con su voto este proyecto.

Agradecimiento

A LAS PERSONAS QUE ENVIARON COMENTARIOS:

Marlene Samaniego, Bruno Duarte, Gaspar Pisanu, Gonzalo Fleitas, Jose Fernando Casañas Levi, Marcelo Galvan, Paloma Lara Castro, Miguel Candia, Pablo Palazzi, Stael Olmedo Cabral, Dolores Dozo, Ralf Sauer, Manuel García-Sánchez, Pablo Lacasa.

A LAS INSTITUCIONES PÚBLICAS QUE ENVIARON COMENTARIOS:

Asociación de Bancos del Paraguay, Banco Central del Paraguay, Comisión Nacional de Telecomunicaciones, Despacho del Dip. Edwin Reimer, Dirección Nacional de Propiedad Intelectual, Dirección General de los Registros Públicos, Ministerio de Hacienda, Ministerio de Relaciones Exteriores, Ministerio Público, Ministerio de Salud Pública y Bienestar Social, Ministerio de Tecnologías y Comunicaciones, Instituto de Previsión Social, Dirección General del Registro del Estado Civil.

REDACCIÓN DEL BORRADOR:

Cecilia Abente, Mariel Aranda, Natalia Enciso, Miguel Angel Gaspar, Adriana Marecos y Alberto Poletti.

EDICION FINAL:

Cecilia Abente, Luis Alonzo, Eduardo Carrillo, Natalia Enciso, Marlene Samaniego y Maricarmen Sequera.

Proyecto de Ley de Protección de Datos Personales en Paraguay

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON FUERZA DE LEY:

TÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto de La Ley.

La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de los derechos de sus titulares, y la libre circulación de tales datos, de conformidad a lo establecido en la Constitución Nacional y los Tratados Internacionales de los cuales la República del Paraguay es parte.

Artículo 2. Ámbito de Aplicación.

Las normas de la presente ley serán de aplicación cuando:

a. El responsable o encargado del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b. El responsable o encargado del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional o derivado de la celebración de un contrato;

c. El responsable o encargado no se encuentre establecido en territorio nacional y las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes, o bien, estén relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en la República del Paraguay, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

d. El responsable o encargado no se encuentre establecido en territorio nacional y utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.

Artículo 3. Excepciones a la ley

Se consideran exentos de aplicación de la presente ley, el tratamiento de datos cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.

Artículo 4. Limitaciones al derecho de la protección de datos

La legislación nacional que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en el Título V y los principios establecidos en el Título II, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) otros objetivos de interés público, en particular un interés económico o financiero importante, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en los incisos a) al e) y g);

i) la protección del titular del dato o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:

1. La finalidad del tratamiento.

2. Las categorías de datos personales de que se trate.

3. El alcance de las limitaciones establecidas.

4. Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.

5. La determinación del responsable o responsables.

6. Los plazos de conservación de los datos personales.

7. Los posibles riesgos para los derechos y libertades de los titulares.

8. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.

Artículo 5. Definiciones

A los efectos de la presente ley, se consideran las siguientes definiciones:

1. Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.

2. Datos Personales: datos que colaboren para identificar a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto también incluye metadatos y fragmentos de datos.

3. Datos personales sensibles: son los referentes a pertenencias raciales o étnicas, preferencias políticas, convicciones religiosas, filosófica o morales; participación o afiliación en una organización sindical o política; información referente a la salud, la preferencia o vida sexual, datos biométricos y genéticos vinculados a una persona física y, en general, los que fomenten prejuicios y discriminaciones ilícitas o arbitrarias,

4. Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

5. Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

6. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

7. Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa realizada por escrito o por medios electrónicos, así como por cualquier forma similar que la tecnología permita, el tratamiento de los datos personales que le conciernen.

8. Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

9. Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales en representación o mandato del responsable del tratamiento.

10. Representante: persona física o jurídica establecida en la República del Paraguay que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento, represente a los mismos en lo que respecta a sus respectivas obligaciones en virtud de la presente ley.

11. Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

12. Elaboración De Perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.

13. Normas de autorregulación Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio nacional para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

14. Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.

15. Bloqueo de datos: La identificación y reserva de datos personales con el fin de impedir su tratamiento.

16. Fuente de acceso público: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, conforme a la Ley nº 5282/2014 “De libre acceso ciudadano a la información pública y transparencia gubernamental”.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Artículo 6. Principio de exactitud de los datos

Los datos personales serán exactos, completos y actualizados. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

Artículo 7. Principio de licitud del tratamiento

Para que el tratamiento sea lícito, los datos personales deben ser tratados conforme a las bases jurídicas previstas en la presente ley en el artículo 16.

Artículo 8. Principio de finalidad

Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Artículo 9. Principio de proporcionalidad

El responsable y el encargado tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

Asimismo, los datos deberán someterse a revisión periódica para determinar si continúan cumpliendo la finalidad.

Artículo 10. Principio de lealtad

No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos. Para los efectos de la presente ley, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

Artículo 11. Principio de transparencia

El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Artículo 12. Limitación del plazo de conservación

No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La Autoridad de Control deberá establecer los plazos para la supresión y/o revisión periódica.

El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados o seudonimizado.

Artículo 13. Principio de responsabilidad proactiva

El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

Artículo 14. Principio de seguridad

En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.

Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:

a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

b. El estado de la técnica.

c. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

d. El alcance, contexto y las finalidades del tratamiento.

e. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

f. El número de titulares.

g. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

h. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Las condiciones técnicas de integridad y seguridad que deban reunir las bases de datos serán reguladas por la Autoridad de Control.

Artículo 15. Principio de confidencialidad

Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por decisión de un juez o tribunal.

TÍTULO III. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES

Artículo 16. Bases legales para el tratamiento de datos personales

El tratamiento de datos personales sólo podrá realizarse si se cumple al menos una de las siguientes condiciones:

1. mediante el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Titulo IV, Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del mismo;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales,

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria,

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente;

Lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 17. Consentimiento

Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tendrá efectos retroactivos.

En el caso de que se requiera consentimiento, si hay cambios en la finalidad para el tratamiento de datos personales que no sean compatibles con el consentimiento original, el responsable deberá informar al titular con anticipación sobre los cambios en la finalidad, y el titular puede revocar el consentimiento, si no está de acuerdo con los cambios.

El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección, siempre que se garantice la preservación de los derechos del titular, así como los fundamentos y principios establecidos en esta Ley. En ningún caso procederá para el tratamiento de datos sensibles.

Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 18. Consentimiento de niños, niñas y adolescentes

En el tratamiento de datos personales de una niña, niño o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la Convención Sobre Los Derechos Del Niño y demás instrumentos internacionales firmados y ratificados por la República del Paraguay que busquen su bienestar y protección integral.

El tratamiento de los datos personales de los y las adolescentes podrá fundarse en su consentimiento a partir de los catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los niños y niñas de hasta trece años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.

El responsable y encargado deberán realizar esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.

Artículo 19. Interés legítimo

El interés legítimo del responsable del tratamiento sólo puede sustentar el tratamiento de datos personales con fines lícitos, considerados desde situaciones concretas y siempre que no prevalezca el interés o los derechos y libertades fundamentales del titular del dato, que incluyen, pero no se limitan a:

1. Apoyo y promoción de las actividades del responsable del tratamiento; y

2. Protección, en relación con el titular, del ejercicio regular de sus derechos o prestación de los servicios que le beneficien, respetando sus legítimas expectativas y derechos y libertades fundamentales, en los términos de esta Ley.

Cuando el tratamiento se base en el interés legítimo del responsable del tratamiento, solo se podrán tratar los datos personales estrictamente necesarios para la finalidad prevista.

El responsable del tratamiento debe adoptar medidas para garantizar la transparencia del tratamiento de los datos en función de su interés legítimo.

La Autoridad de Control podrá solicitar al responsable del tratamiento un informe de impacto sobre la protección de datos personales, cuando el tratamiento se base en su interés legítimo, observando secretos comerciales e industriales.

El titular tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales basado en el interés legítimo del responsable.

TÍTULO IV. TRATAMIENTOS ESPECIALES

Artículo 20. Tratamiento de datos sensibles

A fin de evitar el tratamiento con fines discriminatorios, ilícitos o abusivos queda prohibido el tratamiento de datos personales sensibles salvo que:

1. El titular haya dado su consentimiento explícito y por escrito para el tratamiento de dichos datos personales, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad social;

3. El tratamiento sea necesario   para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;

5. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial, o en procesos administrativos o arbitrales;

6. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

7. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

8. Se realice en el marco de asistencia humanitaria en casos de desastres naturales;

9. Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico o que hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley;

10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar anonimizados o seudonimizado;

11. El tratamiento compartido de los datos sea necesario para la ejecución, por parte de la administración pública, de las políticas públicas previstas en las leyes.

Se prohíbe la comunicación o uso compartido entre responsables del tratamiento de datos personales sensibles relacionados con la salud con el fin de obtener una ventaja económica, salvo en los casos relacionados  con la prestación de servicios sanitarios, asistencia farmacéutica y asistencia sanitaria, incluidos los servicios auxiliares para el diagnóstico y la terapia, para el beneficio de los intereses de los titulares de los datos, y para permitir la portabilidad de datos cuando lo solicite el titular.

Se prohíbe a los operadores de planes de salud privados el procesamiento de datos de salud para la práctica de selección de riesgos al contratar cualquier modalidad, así como al contratar y excluir beneficiarios.

Artículo 21. Tratamiento de datos de información crediticia

Se remitirá a lo establecido en la ley nº 6534/20 de Protección de Datos personales crediticios

Artículo 22. Tratamiento de datos con fines de publicidad

Cuando los datos personales sean utilizados para perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren  en fuentes de acceso público o hayan sido  obtenidos con el  consentimiento de los propios titulares.

En toda comunicación con fines de publicidad que se realice por correo postal, teléfono, correo electrónico, Internet u otro medio de comunicación que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de las bases de datos a los que se refiere el presente artículo. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, el responsable cumplirá con lo establecido en el artículo 39 del derecho de oposición.

Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.

Artículo 23. Tratamientos con fines de videovigilancia

Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

Los datos serán suprimidos en un plazo máximo de hasta 6 meses desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

CAPÍTULO I. DISPOSICIONES APLICABLES A LA ADMINISTRACIÓN PÚBLICA

Artículo 24. Tratamiento de datos personales por la administración pública

El tratamiento de los datos personales por la Administración Pública debe considerar la finalidad, la necesidad, la buena fe y el interés público, con el objetivo de ejecutar las facultades legales o cumplir con las atribuciones legales, siempre que:

1. En ejercicio de sus competencias, realicen el tratamiento de datos personales, aportando información clara y actualizada sobre la disposición legal, finalidad, procedimientos y prácticas utilizadas para realizar estas actividades;

2. Designe un responsable para la realización de operaciones de tratamiento de datos personales, de conformidad con el 53, numeral 1 de esta Ley;

3. Los servicios notariales y registrales, que se realicen por delegación del Poder el Estado, tendrán el mismo tratamiento que las personas jurídicas de derecho público, en los términos de este Capítulo;

4. Los notarios y órganos registrales deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, a la vista de las finalidades a que se refiere el título de este artículo.

5. Las empresas públicas y las sociedades de capital mixto, cuando se encuentren operando políticas públicas y en el ámbito de su implementación, tendrán el mismo tratamiento que se le da a los órganos y entidades de la Administración Pública, en los términos de este Capítulo.

Los datos deben mantenerse en un formato interoperable y estructurado de uso compartido, con miras a la implementación de políticas públicas, la prestación de servicios públicos, la descentralización de la actividad pública y la difusión y acceso de la información al público en general.

La autoridad de control podrá solicitar, en cualquier momento, a los órganos y entidades de la Administración Pública para la realización de operaciones de tratamiento de datos personales, información específica sobre el alcance y naturaleza de los datos, garantías y demás detalles del tratamiento realizado.

La autoridad de control podrá establecer reglas complementarias para las actividades de comunicación y uso compartido de datos personales.

Artículo 25. Comunicación de datos personales entre instituciones públicas

Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:

1. La institución pública titular de la base de datos haya obtenido los datos en ejercicio de sus funciones,

2. El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias,

3. Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario en relación a esta última finalidad.

4. El titular de los datos sensibles haya dado su consentimiento.

El uso compartido de datos personales por parte de la Administración Pública debe servir para fines específicos, para la ejecución de políticas públicas y atribución legal por parte de organismos y entidades públicas, respetando los principios de protección de datos personales enumerados en el Título II de esta Ley.

Artículo 26. Comunicación de datos personales a entidades privadas

Se prohíbe a la Administración Pública transferir a entidades privadas datos personales contenidos en bases de datos a las que tenga acceso, salvo:

1. En los casos de ejecución descentralizada de la actividad pública que requiera la comunicación, exclusivamente para este fin específico y determinado, previsto en la ley y sujeta a salvaguardas específicas;

2. Cuando exista una disposición legal o la comunicación esté respaldada por contratos o convenios. Los contratos y acuerdos deben ser aprobados por la autoridad de control.

Artículo 27. Tratamiento de datos en el ámbito de la función estadística pública

El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.

Dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de los derechos del Titular establecido en los artículos 35 al 42 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación específica.

Artículo 28. Tratamiento de datos con fines de archivo en interés Público por parte de las Administraciones Públicas

Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley y leyes específicas que incluyan salvaguardas para la protección de los derechos de los titulares.

Artículo 29. Tratamiento de datos de naturaleza penal

El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en esta ley o en otras normas de rango legal.

El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de Administración de Justicia.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 30. Tratamiento de datos relativos a infracciones y sanciones administrativas.

El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:

1. Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.

2. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del titular del dato o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 31. Infracción del tratamiento de los datos personales por parte de las Instituciones públicas

Cuando se produzca una infracción a esta ley como consecuencia del tratamiento de datos personales por parte de instituciones públicas. La autoridad de control dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte y sin perjuicio de la responsabilidad civil y penal en que haya incurrido.

Artículo 32. Informes sobre el Impacto de la protección de datos personales

La autoridad de control podrá solicitar a las Instituciones Públicas que elaboren y publiquen informes sobre el impacto de la protección de datos personales y sugerir la adopción de normas y buenas prácticas para el tratamiento de datos personales por parte de la Administración Pública.

CAPÍTULO II. DISPOSICIONES APLICABLES A LAS FUERZAS ARMADAS, ORGANISMOS POLICIALES Y DE INTELIGENCIA

Artículo 33. De los tratamientos de datos personales con fines de defensa nacional o seguridad pública

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales e inteligencia, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios y proporcionales para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de las bases de datos que contengan los datos a los que se refiere en el presente artículo podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos podrá ponerlo en conocimiento de la Autoridad de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artículo 34. De la seguridad de las bases de datos

Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas adicionales de seguridad, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

TÍTULO V. DERECHO DE LOS TITULARES DE DATOS

CAPÍTULO I. EJERCICIO DE LOS DERECHOS

Artículo 35. Disposiciones Generales Sobre El Ejercicio De Los Derechos

El titular de datos o su representante podrán, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

El responsable tendrá un plazo de 30 (treinta) días corridos computados desde la presentación de la solicitud para dar respuesta a la solicitud del Titular.

Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control o podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite ante la autoridad de control.

El ejercicio de los derechos previstos en el presente capítulo en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

Artículo 36. Derecho a la Información

El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.

El responsable proporcionará al titular, al menos, la información siguiente:

a. Su identidad y datos de contacto que son el domicilio legal, número de teléfono y correo electrónico.

b. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales.

c. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

e. Tiempo de conservación de los datos personales.

En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

Artículo 37. Derecho De Acceso

El titular de datos tendrá el derecho a solicitar y obtener sus datos personales que obren en posesión del responsable. Previa acreditación de su identidad, la información deberá ser suministrada en forma clara, inteligible y exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

1. Las finalidades del tratamiento de datos;

2. Las categorías de datos personales de que se trate;

3. Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

4. El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

5. La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

6. El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

7. Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

8. La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 22 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos. La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, de imagen u otro idóneo a tal fin.

Artículo 38. Derecho De Rectificación

El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el

responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

Artículo 39. Derecho De Oposición

El titular de datos puede oponerse al tratamiento de sus datos personales, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del titular del dato o para el establecimiento, ejercicio o defensa de reclamaciones legales.

Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines en un plazo de 30 (treinta) días corridos desde el envío de la solicitud de oposición.

Artículo 40. Derecho De Supresión

El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.

Solo podrá requerirse en los siguientes casos:

1. El tratamiento no cumpla con los principios de lealtad, transparencia y legitimidad;

2. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

3. Haya vencido el plazo de conservación de los datos personales;

4. El titular de datos haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna o éste no se ampare en otro fundamento jurídico;

5. El titular de los datos haya ejercido su derecho de oposición conforme al artículo 39, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

6. Los datos personales hayan sido tratados ilícitamente;

7. Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

Artículo 41. Derecho a la Portabilidad

Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.

No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.

Este derecho no procederá cuando:

1. Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;

2. Vulnere la privacidad de otro titular de los datos;

3. Vulnere las obligaciones legales del responsable o encargado del tratamiento,

4. Impida que el responsable y/o encargado del tratamiento proteja sus derechos, su seguridad o sus bienes, o los del titular de los datos o tercero,

5. Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.

Artículo 42. Derecho a no ser objeto de decisiones individuales automatizadas o semiautomatizadas.

El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen en tratamientos automatizados o semi automatizadas destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

No se aplica lo anterior cuando el tratamiento automatizado o semi automatizadas de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, en la que se regularán, en su caso, garantías adicionales para los derechos, libertades y los intereses legítimos de los titulares, o bien, se base en el consentimiento expreso del titular de datos.

No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

El responsable no podrá llevar a cabo tratamientos automatizados o semi automatizados de datos personales sensibles.

TÍTULO VI. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

CAPÍTULO I. DISPOSICIONES GENERALES

MEDIDAS DE RESPONSABILIDAD ACTIVA

Artículo 43. Medidas para el cumplimiento de la responsabilidad activa

Los responsables determinarán las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley.

En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y en la consulta previa a que se refieren los artículos 49 y 50 de la presente ley.

Las medidas deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

1. La adopción de procesos internos para llevar adelante de manera efectiva la responsabilidad activa, incluyendo las medidas de privacidad por diseño y por defecto;

2. La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

3. La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

4. La revisión periódica de las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

5. La implementación de sistemas de administración de riesgos asociados al tratamiento de datos personales.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 44. Protección de datos desde el diseño y por defecto

El responsable del tratamiento debe aplicar, desde el diseño para el desarrollo de productos y servicios, medidas técnicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas físicas.

Artículo 45. Mecanismos de autorregulación vinculantes

El responsable o encargado del tratamiento podrá adherirse, de manera voluntaria, a mecanismos de autorregulación vinculante, que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Artículo 46. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

1. la seudonimización y el cifrado de datos personales;

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración

accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La adhesión a un código de conducta o a un mecanismo de certificación aprobado por la autoridad de control podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el presente artículo.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de la legislación nacional.

Artículo 47. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida y, de ser posible, a más tardar (72) setenta y dos horas después de que haya tenido constancia de ella. Si la notificación a la autoridad de control no tiene lugar en el plazo de (72) setenta y dos horas, deberá ir acompañada de indicación de los motivos de la dilación.

El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

La notificación deberá, como mínimo:

1. Describir la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de titulares de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados;

2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales;

4. Describir las medidas adoptadas y a adoptar por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 48. Comunicación de una violación de la seguridad de los datos personales al Titular

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas determinada por la autoridad, el responsable del tratamiento la comunicará al Titular sin dilación indebida.

La comunicación al Titular contemplada en el presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 47, numeral 2, 3 y 4.

La comunicación al Titular a que se refiere el presente artículo no será necesaria si se cumple alguna de las condiciones siguientes:

1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del titular del dato a que se refiere el presente artículo;

3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Titulares.

Cuando el responsable todavía no haya comunicado al Titular la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá que dicha comunicación no es necesaria si cumple alguna de las condiciones mencionadas en el tercer párrafo de este artículo.

Artículo 49. Evaluación De Impacto

Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b- Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o administrativas

c- Observación sistemática a gran escala de una zona de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

La evaluación debe incluir, como mínimo:

1. Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

3. Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.

4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

Artículo 50. Consulta Previa

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 49 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará la información siguiente:

1. Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

2. Los fines y medios del tratamiento previsto;

3. Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;

4. En su caso, los datos de contacto del delegado de protección de datos;

5. La evaluación de impacto relativa a la protección de datos.

6. Cualquier otra información que solicite la autoridad de control.

Cuando la autoridad de control considere que el tratamiento previsto podría infringir la presente Ley, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de 60 (sesenta) días corridos desde la consulta, asesorar por escrito al responsable, y en su caso al encargado, de conformidad con las funciones establecidas en el artículo 65 de la presente ley. Dicho plazo podrá prorrogarse por (45) cuarenta y cinco días corridos, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 30 (treinta) días corridos a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

Artículo 51. Posición del Delegado de protección de datos.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 53, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la presente Ley.

El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con la legislación nacional.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 52. Delegado de Protección de Datos

Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:

1. Cuando revistan el carácter de autoridades u organismos públicos; excepto los tribunales que actúen en ejercicio de su función judicial;

2. Se realice tratamiento a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales como parte de la actividad principal del responsable o encargado del tratamiento;

3. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de los titulares de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo 53.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 53.

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Artículo 53. Funciones del Delegado de Protección de Datos

El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

1. Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.

2. Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

3. Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

4. Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

5. Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

6. Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

7. Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

8. Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;

9. Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

CAPÍTULO II. ENCARGADO DEL TRATAMIENTO

Artículo 54. Funciones del Encargado del Tratamiento

El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo a la legislación nacional, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de la ley que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

3. tomará todas las medidas necesarias de conformidad con el artículo 46 de seguridad de tratamiento;

4. respetará las condiciones indicadas en el presente artículo para recurrir a otro encargado del tratamiento;

5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los titulares establecidos en el Título V;

6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en el 46 de seguridad del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de la ley;

8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe la presente Ley.

Artículo 55. Sub Encargado de Tratamiento

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos.

Artículo 56. Representantes de responsables o encargados del tratamiento no establecidos en Paraguay

Cuando sea de aplicación el artículo 2, inciso b) el responsable o el encargado del tratamiento designará por escrito un representante en la República del Paraguay.

La obligación del presente artículo no será aplicable cuando:

1. el tratamiento sea ocasional, que no incluyan el manejo a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o

2. el tratamiento sea realizado por las autoridades o instituciones públicas del extranjero.

El representante estará establecido en el territorio nacional cuando los titulares cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado estén en Paraguay. El responsable o encargado comunicará a la autoridad de control los datos de contacto de su representante. Las notificaciones o intimaciones serán realizadas en el domicilio del representante.

La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

TÍTULO VII. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Artículo 57. Reglas generales para las transferencias internacionales de datos personales

La transferencia internacional de datos personales se podrá realizar en cualquiera de los siguientes supuestos:

1. El país u organización internacional o supranacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales;

2. El exportador ofrezca garantías apropiadas al tratamiento de los datos personales, en cumplimiento de las condiciones mínimas y suficientes establecidas en esta ley.

En ausencia de una decisión de adecuación o de garantías apropiadas establecidos en el inciso 2), la transferencia se podrá realizar si se cumple una de las condiciones siguientes:

a) La transferencia sea necesaria para la cooperación jurídica internacional entre órganos de inteligencia pública, investigación y enjuiciamiento, de conformidad con los instrumentos del derecho internacional, con las debidas salvaguardas adicionales;

b)  La transferencia se encuentre prevista en esta ley u otras leyes, convenios o tratados internacionales en los que Paraguay sea parte siempre y cuando no sean contrarias a las disposiciones de esta ley;

c) La transferencia sea necesaria, para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

d) La transferencia sea necesaria para proteger la vida o la seguridad física del titular o de un tercero,

e) El titular del dato haya dado su consentimiento expreso, con información previa sobre el carácter internacional de la operación, distinguiéndose claramente de otros fines.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

 Artículo 58. Carácter adecuado del país u organismo receptor

El nivel de protección de datos del país extranjero o de la organización internacional o supranacional a que se refiere el inciso 1 del art. 57 de esta Ley, será evaluada por la autoridad de control, a pedido de parte interesada o de oficio, la cual tendrá en cuenta:

a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;

b) la naturaleza de los datos;

c)  observancia de los principios generales de protección de datos personales y derechos de los titulares previstos en esta Ley;

d) la adopción de las medidas de seguridad previstas en los reglamentos;

e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y

f) otras circunstancias específicas relacionadas con la transferencia.

Artículo 59. Transferencias mediante garantías adecuadas

Las garantías adecuadas de conformidad al numeral 2 del artículo 57 podrán ser aportadas, sin que se requiera ninguna autorización expresa de la autoridad de control, por:

a. un instrumento jurídicamente vinculante y exigible entre las autoridades o instituciones públicos;

b. mecanismos de autorregulación vinculantes de conformidad con el artículo 45;

c. cláusulas tipo de protección de datos adoptadas por la autoridad de control

d. un código de conducta aprobado con arreglo al artículo 65, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los titulares de datos, o

e. un mecanismo de certificación aprobado por la autoridad de control, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los titulares de datos.

Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el inciso 2 del artículo 57, podrán igualmente ser aportadas, en particular, mediante:

1. cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o supranacional, o

2. disposiciones que se incorporen en acuerdos administrativos entre las autoridades o instituciones públicas que incluyan derechos efectivos y exigibles para los titulares de datos.

Artículo 60. Cambios de las garantías

Los cambios en las garantías que se presenten como suficientes para cumplir con los principios generales de protección y los derechos del titular a que se refiere el inciso 2 del art. 57 de esta Ley debe ser comunicada a la autoridad de control.

Artículo 61. Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales

A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente Ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

TÍTULO VIII. AUTORIDAD DE PROTECCIÓN DE DATOS

CAPÍTULO I. AUTORIDAD DE CONTROL

Artículo 62. Naturaleza de la Autoridad de control y supervisión

La Agencia de Protección de Datos Personales es un ente de derecho público y es el organismo encargado del control y cumplimiento de las leyes en materia de protección de datos personales con plena autonomía e independencia en el ejercicio de sus funciones.

Compete a la Agencia de Protección de Datos Personales el ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos.

Le corresponde así también la asistencia técnica a cualquier institución que lo solicite para la protección de datos personales.

La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Artículo 63. Nombramiento de Autoridades en materia de protección de datos personales

La Agencia de Datos Personales estará conformada por un Director o una Directora y un Subdirector o una Subdirectora, quienes deberán ser de nacionalidad paraguaya, de 30 (treinta) años cumplidos y deberán contar con antecedentes personales, profesionales y de conocimiento, en particular respecto al ámbito de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge de una persona que esté en alguno de los supuestos mencionados anteriormente.

Para su elección, el Poder Ejecutivo remitirá a la Cámara de Senadores una lista de (3) tres candidatos a Director o Directora y tres candidatos a Subdirector o Subdirectora, de entre los cuales la Cámara de Senadores elegirá a uno para cada cargo por mayoría absoluta.

Artículo 64. Duración del mandato y remoción de las autoridades

El Director o la Directora y el Subdirector o la Subdirectora durarán 5 (cinco) años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción en los casos de mal desempeño de sus funciones o la comisión de delitos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.

El directora o la directora y el subdirector o subdirectora podrán ser removidos, por faltas graves e irregularidades cometidas en el ejercicio de sus funciones, por las causas siguientes:

 a) El mal desempeño de sus funciones;

b) El desempeño de un empleo, cargo o comisión distinto de lo previsto en esta Ley, excepto la docencia a tiempo parcial.

c) Utilizar en beneficio propio o de terceros la información confidencial de que disponga en razón de su cargo,

d) incapacidad sobrevenida para el ejercicio de su función,

e) condena firme por delito doloso.

En caso de incurrir en las conductas descritas en el párrafo anterior, se aplicarán análogamente las mismas sanciones establecidas en la Ley No 1626/00 “DE LA FUNCIÓN PÚBLICA”.

Artículo 65. Facultades de la Autoridad de Control

La Agencia de Protección de Datos Personales cuenta con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de la presente ley, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

La autoridad de control tendrá las siguientes funciones y atribuciones:

a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los medios legales de que disponen para la defensa de sus derechos;

b. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de las actividades comprendidas por esta Ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente Ley;

d. Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente Ley y las normas que dicte la autoridad de control;

e. Solicitar información a las instituciones públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f. Imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente Ley y de las reglamentaciones que se dicten en su consecuencia;

g. Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente Ley;

h. Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento con lo dispuesto en el artículo 45;

I.  Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 49,

j.  Solicitar información a los Delegados de Protección de Datos, en los términos de lo previsto en la presente Ley.

k. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, de carácter internacional o transnacional, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;

l. Preparar informes anuales de gestión sobre sus actividades;

m. Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a la protección de datos personales.

n. Colaborar con el Ministerio de Tecnologías de la Información y Comunicación en las políticas públicas, investigación y en la gestión de seguridad de la información y ciberseguridad sobre las infraestructuras de bases de datos que contengan datos personales para la adecuada protección de los mismos.

Artículo 66:  De las funciones del Director o de la Directora

Le corresponde al Director o la Directora:

1. Representar a la Agencia de Protección de Datos en todos los actos en que ella intervenga,

2. Dirigir las actividades de la institución de conformidad a lo establecido en esta Ley y su reglamentación.

3. Controlar y hacer aplicar la presente ley.

4. Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

5. Brindar información y tratar las reclamaciones de cualquier titular en relación con el ejercicio de sus derechos en virtud de la presente ley.

6. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

El Director o Directora se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

Artículo 67: De las funciones del Subdirector o de la Subdirectora

Al Subdirector o la Subdirectora le corresponde sustituir al Director o Directora en caso de impedimento, ausencia temporal o vacancia definitiva, asumiendo de inmediato todas sus atribuciones, cooperar con la labor de conformidad a esta Ley; y supervisar el funcionamiento de las distintas dependencias de la Agencia de Protección de Datos Personales.

Artículo 68. De los recursos de la Agencia de Protección de Datos Personales

Los recursos financieros de la Agencia de Protección de Datos Personales estarán constituidos por:

1. Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación para el mantenimiento e incremento de sus funciones.

2. Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en esta Ley.

3. Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional, siempre que no implique conflicto de interés.

TÍTULO IX. RECLAMACIONES Y SANCIONES

Artículo 69. Régimen de reclamaciones y de imposición de sanciones

El titular de los datos o su representante legal puede iniciar una reclamación ante la autoridad de control para hacer efectivos sus derechos, así como recurrir a la tutela judicial para ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de su derecho a la protección de datos personales conforme a las normas establecidas en la presente ley.

Artículo 70. Procedimiento para la reclamación

La reclamación será presentada por escrito o por medio electrónico, en la plataforma habilitada por la Autoridad de Control y deberá ser respondida por el medio elegido por el solicitante dentro del plazo de 15 (quince) días hábiles.

La autoridad encargada podrá requerir las informaciones a instituciones públicas, privadas y a particulares, que deberán responder dentro del plazo de 15 (quince) días hábiles.

 La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.

La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias. La Autoridad de Control reglamentará el procedimiento a seguirse.

Artículo 71. Régimen de faltas y sanciones

La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas de las personas físicas y jurídicas que contravengan lo dispuesto en la presente ley.

Artículo 72. Prescripción de sanciones

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 73. Faltas leves

Se consideran faltas leves y prescribirán al año, las siguientes infracciones:

1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.

2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

4. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

5. La notificación incompleta, tardía o defectuosa a la autoridad de control de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 47 de la presente ley.

6. Negarse injustificadamente a dar acceso a un titular del dato sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

7. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo 54 de esta ley.

8. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

Artículo 74. Faltas graves

Se consideran graves y prescribirán a los dos años, las siguientes infracciones:

1. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.

2. Reiteración en la negativa injustificada de dar acceso a un titular sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

3. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

4. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.

5. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

6. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

8. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.

9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

10. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.

11. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 56 de la presente ley.

12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo 5 de esta ley.

13. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

14. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

15. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 47 de la presente ley.

16. El incumplimiento del deber de comunicación al Titular de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 48 de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

17. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

18. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.

19. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 52 de esta ley.

20. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

21. La utilización de un sello o certificación nacional o internacional falso en materia de protección de datos o en caso de que las vigencias de los mismos hubieran expirado.

22. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

23. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por los artículos 38 y 40 de esta ley.

24. El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento.

25. La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 36 de esta ley.

26. La exigencia del pago de un canon para el ejercicio de cualquiera de los derechos establecidos en el Título V, Capítulo I de los derechos de los titulares de datos.

Artículo 75. Faltas muy graves

Se consideran muy graves y prescribirán a los tres años, las siguientes infracciones:

1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las bases legales establecidas en la legislación vigente.

2. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

3. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.

4. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

5. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido.

6. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

7. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el artículo 29.

8. La vulneración del principio de confidencialidad establecido en el artículo 15 de esta ley.

9. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos y excepciones establecidos en los artículos 57 y 59 de esta ley.

10.          No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.

11. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.

12. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la re-identificación de los titulares.

13. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las bases legales establecidas en esta ley.

En el numeral 8, el titular del dato que se vea vulnerado por el principio de confidencialidad podrá además accionar en base al artículo 147 de la Ley 1160/97 “Código Penal”.

Artículo 76. Incumplimiento por parte de instituciones públicas

Las sanciones pecuniarias indicadas en este capítulo sólo se aplican a las personas de naturaleza privada. En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de instituciones públicas, actuará de conformidad con el artículo 31.

Artículo 77. Sanciones administrativas

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:

1. Apercibimiento como primera instancia;

2. Multas:

a. Para las faltas leves, hasta 500 (quinientos) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

b. Para las faltas graves, hasta 10.000 (diez mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

c. Para las faltas muy graves, hasta 35.000 (treinta y cinco mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de 1 (uno) a 6 (seis) meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.

3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse;

4. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control;

5. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Artículo 78: Criterios para las sanciones administrativas

Las sanciones se aplicarán luego de un procedimiento administrativo que permita la oportunidad de una amplia defensa, de manera gradual, aislada o acumulativa, según las peculiaridades del caso específico y considerando los siguientes parámetros y criterios:

A. la gravedad y naturaleza de las infracciones y los derechos personales afectados;

B. la buena fe del infractor;

C. la ventaja obtenida o pretendida por el infractor;

D. el tamaño de la persona jurídica y la situación económica del infractor;

E. reincidencia;

F. el grado de daño;

G. la cooperación del infractor;

H. la adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;

I. la adopción de una política de buenas prácticas o código de conductas;

J. la pronta adopción de medidas correctivas;

K. la proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.

Artículo 79.- Pago de multas

El monto de las multas deberá ser pagado dentro del plazo de treinta días, contados desde la notificación.

Artículo 80.- Falta de pago de multas

Si la multa no fuera pagada y hubiera resolución firme, la Autoridad de control, podrá demandar judicialmente al infractor por medio de juicio ejecutivo ante el Juzgado de Primera Instancia en lo Civil y Comercial de la capital, acompañando copia de la resolución que aplicó la sanción o de la sentencia ejecutoriada en su caso, la que tendrá por sí sola fuerza ejecutiva.

En este juicio, el demandado no podrá oponer otras excepciones que la de prescripción, la falta de acción, y la de pago total.

Artículo 81.- Intereses por falta de pago de multas

El retardo en el pago de toda multa que aplique la Autoridad de Control, en conformidad a la Ley, devengará los intereses de mercado correspondiente al promedio de la tasa activa.

Si la multa no fuere procedente y no obstante hubiese sido pagada, la Autoridad de Control, o el juzgado respectivo, según corresponda, deberá ordenar se devuelvan las sumas pagadas, con los intereses establecidos por Ley.

Artículo 82.- Prescripción de la acción de cobro de multa

La acción de cobro de una multa prescribe en el plazo de 5 (cinco) años, contados desde que se hizo exigible.

TÍTULO X. RECURSOS

Artículo 83.- Recurso de reconsideración

Todo recurso de reconsideración contra una resolución o acto administrativo de carácter no reglamentario por parte de la Autoridad de Control, deberá agotarse en la instancia administrativa. Posterior a esto, estará sujeto al control jurisdiccional ante el Tribunal de Cuentas.

Artículo 84.- Contenido y forma de presentación

La reconsideración se formulará por escrito y contendrá en forma clara y precisa los hechos y el derecho en que se fundamenta. El plazo para su interposición será de cinco días hábiles, contados a partir de la notificación de la resolución.

La Autoridad de Control dispondrá de cinco días hábiles para resolver el recurso de reconsideración, transcurridos los cuales, sin que medie resolución, se entenderá que rechaza el recurso. La interposición del recurso de reconsideración suspenderá el plazo para recurrir ante el Tribunal de Cuentas.

Artículo 85.- Acción contencioso-administrativo

La acción contencioso-administrativo deberá interponerse ante el Tribunal de Cuentas, dentro del plazo de 18 (dieciocho) días hábiles, contados desde la notificación del acto recurrido.

El recurso de reconsideración y la acción contencioso-administrativo, tendrán efecto suspensivo para la aplicación de multas.

XI. DISPOSICIONES FINALES

Artículo 86. Disposiciones finales

La presente Ley entrará en vigencia luego de transcurridos 12 (doce) meses de su publicación oficial.

Artículo 87. Reglamentación

El Poder Ejecutivo reglamentará la presente Ley en un plazo máximo de 90 (noventa) días desde su publicación oficial.

Artículo 88. Comuníquese al Poder Ejecutivo

08May/21

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, …

Sancionan con fuerza de Ley

LEY DE PROTECCIÓN DE LOS DATOS PERSONALES

Capítulo 1. Disposiciones generales

ARTÍCULO 1°

Objeto. La presente ley tiene por objeto la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la CONSTITUCIÓN NACIONAL y los tratados de derechos humanos en los que la REPÚBLICA ARGENTINA sea parte.

ARTÍCULO 2°

Definiciones. A los fines de la presente ley se entiende por:

Autoridad de control: órgano que debe velar por el cumplimiento de los principios y procedimientos de la presente ley de acuerdo a lo establecido en el Capítulo 7.

– Base de datos: conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente se la puede denominar también archivo, registro, fichero o banco de datos.

– Datos personales: información de cualquier tipo referida a personas humanas determinadas o determinables, inclusive los datos biométricos. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Se entenderá por datos biométricos aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única. Se entenderá por datos genéticos los relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica.

Datos sensibles: datos personales que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical o política, información referente a la salud, preferencia o vida sexual.

Disociación de datos: el procedimiento que se aplica sobre los datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. No será considerada persona determinable cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.

Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate datos personales por cuenta del responsable del tratamiento.

– Fuente de acceso público irrestricto: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, accesible ya sea en forma gratuita o mediante una contraprestación.

Fuente de acceso público restricto: la que contiene información que no está sujeta a confidencialidad ni tampoco está destinada a ser difundida irrestrictamente al público y cuyo acceso a terceros resulta generalmente condicionado al cumplimiento de ciertos requisitos.

– Grupo económico: sociedades controlantes, controladas y aquellas vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.

Incidente de seguridad de datos personales: hecho ocurrido en cualquier fase del tratamiento que implique la pérdida o destrucción no autorizado, el robo, extravío o copia no autorizada, el uso, acceso o tratamiento de datos no autorizado, o el daño, alteración o modificación no autorizada.

Responsable del tratamiento: persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.

Tercero: la persona humana o jurídica, pública o privada, distinta del titular de los datos, del responsable del tratamiento, del encargado del tratamiento o de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Titular de los datos: la persona humana cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

Tratamiento de datos: cualquier operación o procedimiento organizado, electrónico o no, que permita la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo o destrucción y, en general, el procesamiento de datos personales, así como también su cesión a través de comunicaciones, consultas, interconexiones o transferencias.

ARTÍCULO 3°

Excepciones a la aplicación de la ley. Queda exceptuado de los alcances de la presente ley el tratamiento de datos que efectúe una persona humana para su uso exclusivamente privado o de su grupo familiar.

La aplicación de la presente ley en ningún caso podrá afectar el secreto de las fuentes de información periodísticas. Tampoco podrá afectar al tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión.

ARTÍCULO 4°

Ámbito de aplicación. Las normas de la presente ley serán de aplicación cuando:

a) el responsable del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b) el responsable del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional;

c) el tratamiento de datos de titulares que residan en la REPÚBLICA ARGENTINA sea realizado por un responsable del tratamiento que no se encuentre establecido en el territorio nacional y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de los datos en la REPÚBLICA ARGENTINA, o con el seguimiento de sus actos, comportamientos o intereses.

Capítulo 2. Principios relativos al tratamiento de datos

ARTÍCULO 5º

Principio de licitud, lealtad y transparencia. Los datos personales deben ser tratados de manera lícita, leal y transparente. El tratamiento se considera leal cuando el responsable se abstenga de tratar los datos personales a través de medios engañosos o fraudulentos.

ARTÍCULO 6º

Principio de finalidad. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con dichos fines.

No se considerarán incompatibles con los fines iniciales tanto el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, como tampoco el tratamiento de datos con fines que pudieron ser, de acuerdo al contexto, razonablemente presumidos por el titular de los datos.

ARTÍCULO 7º

Principio de minimización de datos. Los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados.

ARTÍCULO 8º

Principio de exactitud. Los datos personales deben ser tratados de modo que sean exactos y completos. Si fuera necesario adecuarlos, se adoptarán todas las medidas razonables para que se supriman o rectifiquen.

ARTÍCULO 9º

Limitación del plazo de conservación. Los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. Los datos personales pueden conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone la presente ley a fin de proteger los derechos del titular de los datos.

ARTÍCULO 10.- Principio de responsabilidad proactiva. El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

ARTÍCULO 11.- Licitud del tratamiento de datos. El tratamiento de datos es lícito sólo si se cumple al menos UNA (1) de las siguientes condiciones:

a) el titular de los datos dio su consentimiento para el tratamiento de sus datos para uno o varios fines específicos conforme lo dispuesto en los artículos 12, 13 y 14;

b) el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público irrestricto;

c) el tratamiento de datos se realice en ejercicio de funciones propias de los poderes del Estado y sean necesarios para el cumplimiento estricto de sus competencias;

d) el tratamiento de datos sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

e) el tratamiento de datos derive de una relación jurídica entre el titular de los datos y

el responsable del tratamiento, y resulte necesario para su desarrollo o cumplimiento;

f) el tratamiento de datos resulte necesario para salvaguardar el interés vital del titular de los datos o de terceros, y el titular de los datos esté física o jurídicamente incapacitado para dar su consentimiento;

g) el tratamiento de datos sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente.

Lo dispuesto en el inciso g) no será de aplicación al tratamiento de datos realizado por las autoridades públicas en el ejercicio de sus funciones.

ARTÍCULO 12

Consentimiento. El tratamiento de datos, en cualquiera de sus formas, requiere del consentimiento libre e informado de su titular para una o varias finalidades específicas.

El consentimiento puede ser obtenido de forma expresa o tácita.

La forma del consentimiento depende de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.

El consentimiento expreso, de acuerdo a las circunstancias particulares del tratamiento de datos del que se trate, puede ser obtenido por escrito, verbalmente, por medios electrónicos, así como por cualquier forma similar que la tecnología permita brindar. Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

El consentimiento tácito es admitido cuando surja de manera manifiesta del contexto

del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización. Es admisible únicamente cuando los datos requeridos sean necesarios para la finalidad que motiva la recolección y se haya puesto a disposición del titular de los datos la información prevista en el artículo 15, sin que éste manifieste su oposición. El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección. En ningún caso procede para el tratamiento de datos sensibles.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

ARTÍCULO 13

Revocación del consentimiento. El consentimiento puede ser revocado en cualquier momento. Dicha revocación no tiene efectos retroactivos. El responsable del tratamiento está obligado a facilitar la revocación mediante mecanismos sencillos, gratuitos y, al menos, de la misma forma por la que obtuvo el consentimiento.

ARTÍCULO 14

Excepciones al consentimiento previo. No es necesario el consentimiento para el tratamiento de datos cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento, domicilio y correo electrónico.

El titular de los datos podrá oponerse a dicho tratamiento conforme el artículo 30 de la presente ley.

ARTÍCULO 15

Información al titular de los datos. El responsable del tratamiento debe brindar al titular de los datos, antes de la recolección, al menos, la siguiente información:

a) las finalidades del tratamiento de datos a las que se destinarán los datos personales recolectados;

b) la identidad y los datos de contacto del responsable del tratamiento;

c) los medios para ejercer los derechos previstos en esta ley;

d) en su caso, las cesiones o transferencias internacionales de datos que se efectúen o se prevea efectuar;

e) el carácter obligatorio o facultativo de proporcionar los datos personales y las consecuencias de proporcionarlos, o de la negativa a hacerlo, o de hacerlo en forma incompleta o defectuosa;

f) el derecho del titular de los datos a revocar el consentimiento;

g) el derecho a presentar una denuncia, a iniciar el trámite de protección de datos personales ante la autoridad de control, o a ejercer la acción de habeas data en caso de que el responsable o el encargado del tratamiento incumpla con la presente ley.

ARTÍCULO 16

Tratamiento de datos sensibles. Se prohíbe el tratamiento de datos sensibles, excepto cuando:

a) el titular de los datos haya dado su consentimiento expreso a dicho tratamiento, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

b) sea necesario para salvaguardar el interés vital del titular de los datos y éste se encuentre física o legalmente incapacitado para prestar el consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

c) sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico de acuerdo a lo establecido por la Ley de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud nº 26.529;

d) se realice en el marco de las actividades legítimas que realice una fundación, asociación o cualquier otro organismo sin fines de lucro, cuyo objeto principal sea una actividad política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o beneficiarios o a las personas que mantengan un contacto regular por razón de su objeto principal;

e) se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

f) tenga una finalidad histórica, estadística o científica. En estos dos últimos casos, debe adoptarse un procedimiento de disociación de datos;

g) se refiera a datos personales que el interesado haya hecho manifiestamente públicos;

h) sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular de los datos en el ámbito del Derecho laboral y de la seguridad y protección social;

i) sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

j) se realice en el marco de asistencia humanitaria en casos de desastres naturales.

ARTÍCULO 17

Tratamiento de antecedentes penales y contravencionales. El tratamiento de datos relativos a antecedentes penales o contravencionales con el objeto de brindar informes a terceros sólo puede ser realizado por parte de las autoridades públicas competentes o bajo su supervisión.

El empleador que conserve un certificado, documento o información de antecedentes penales o contravencionales de sus empleados no puede cederlo a terceros, salvo con el consentimiento expreso del titular de los datos.

ARTÍCULO 18

Tratamiento de datos de niños, niñas y adolescentes. En el tratamiento de datos personales de un niño, niña o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la CONVENCIÓN SOBRE LOS DERECHOS DEL NIÑO y demás instrumentos internacionales que busquen su bienestar y protección integral.

Es válido el consentimiento de un niño, niña o adolescente cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos para ellos. En estos casos, el consentimiento es lícito si el niño, niña o adolescente tiene como mínimo TRECE (13) años. Si el niño es menor de TRECE (13) años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental o tutela sobre el niño, y sólo en la medida en que se dio o autorizó.

El responsable del tratamiento debe realizar esfuerzos razonables para verificar, en tales casos, que el consentimiento haya sido otorgado por el titular de la responsabilidad parental o tutela sobre el niño, niña o adolescente, teniendo en cuenta sus posibilidades para hacerlo.

ARTÍCULO 19

Principio de seguridad de los datos personales. El responsable del tratamiento y, en su caso, el encargado, deben adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

El responsable del tratamiento debe adoptar las medidas de seguridad aplicables a los datos personales que trate, considerando, al menos, los siguientes factores:

a) el riesgo inherente por el tipo de dato personal;

b) el carácter sensible de los datos personales tratados;

c) el desarrollo tecnológico;

d) las posibles consecuencias de un incidente de seguridad para los titulares de los datos;

e) los incidentes de seguridad previos ocurridos en los sistemas de tratamiento.

ARTÍCULO 20

Notificación de incidentes de seguridad. En caso de que ocurra un incidente de seguridad de datos personales, el responsable del tratamiento debe notificarlo a la autoridad de control sin dilación indebida y, de ser posible, a más tardar SETENTA Y DOS (72) horas después de que haya tenido constancia del incidente, a menos que sea improbable que dicho incidente de seguridad constituya un riesgo para los derechos de los titulares de los datos. Si la notificación a la autoridad de control no tiene lugar en el plazo de SETENTA Y DOS (72) horas, deberá ir acompañada de indicación de los motivos de la dilación.

De igual manera, el responsable del tratamiento también debe informar al titular de los datos sobre el incidente de seguridad ocurrido, en un lenguaje claro y sencillo,

cuando sea probable que entrañe altos riesgos a sus derechos.

La notificación debe contener, al menos, la siguiente información:

a) la naturaleza del incidente;

b) los datos personales que pueden estimarse comprometidos;

c) las acciones correctivas realizadas de forma inmediata;

d) las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;

e) los medios a disposición del titular de los datos para obtener mayor información al respecto.

El responsable del tratamiento debe documentar todo incidente de seguridad que ponga en alto riesgo los derechos de los titulares de los datos personales ocurrido en cualquier fase del tratamiento de datos e identificar, de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo del incidente, los hechos relacionados con éste y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva.

ARTÍCULO 21

Deber de confidencialidad. El responsable del tratamiento, el encargado y las demás personas que intervengan en cualquier fase del tratamiento de datos están obligados a la confidencialidad respecto de los datos personales. Tal obligación subsiste aun después de finalizada su relación con el titular de los datos, el responsable o el encargado del tratamiento, según corresponda.

El obligado puede ser relevado del deber de confidencialidad por resolución judicial.

ARTÍCULO 22

Cesión. Cuando el tratamiento de datos consiste en una cesión, el responsable del tratamiento a quien se ceden los datos personales queda sujeto a las mismas obligaciones legales y reglamentarias que el responsable cedente. Ambos responden por la observancia de aquéllas ante la autoridad de control y el titular de los datos de que se trate. En cualquier caso, podrán ser eximidos total o parcialmente de responsabilidad si demuestran que no se les puede imputar el hecho que ha producido el daño.

ARTÍCULO 23

Transferencia internacional. Toda transferencia internacional de datos personales es lícita si se cumple al menos UNA (1) de las siguientes condiciones:

a) cuente con el consentimiento expreso del titular de los datos;

b) el país u organismo internacional o supranacional receptor proporcione un nivel de protección adecuado;

c) se encuentre prevista en una ley o tratado en los que la REPÚBLICA ARGENTINA sea parte;

d) sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

e) sea efectuada a cualquier sociedad del mismo grupo económico del responsable del tratamiento, en tanto los datos personales sean utilizados para finalidades que no sean incompatibles con las que originaron su recolección;

f) sea necesaria en virtud de un contrato celebrado o por celebrar en interés inequívoco del titular de los datos, por el responsable del tratamiento y un tercero;

g) sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

h) sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

i) sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos;

j) sea efectuada en los casos de colaboración judicial internacional;

k) sea requerida para concretar transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

l) tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos y el narcotráfico;

m) el responsable del tratamiento transferente y el destinatario adopten mecanismos de autorregulación vinculante, siempre y cuando éstos sean acorde a las disposiciones previstas en esta ley;

n) se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales acordes con las disposiciones previstas en la presente ley.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

ARTÍCULO 24

Carácter adecuado del país u organismo receptor. Se entiende que un país u organismo internacional o supranacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente.

El nivel de protección proporcionado por un país u organismo internacional o supranacional será evaluado por la autoridad de control, a pedido de parte interesada o de oficio y atendiendo a todas las circunstancias que concurran en una transferencia internacional; en particular, las normas de derecho, generales o especiales, vigentes en el país u organismo internacional o supranacional de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad que resulten aplicables.

ARTÍCULO 25

Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales. A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

ARTÍCULO 26

Servicio de tratamiento de datos personales por medios tecnológicos tercerizados. El servicio de tratamiento de datos personales por medios tecnológicos tercerizados está permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos en la presente ley.

El responsable del tratamiento debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la presente ley. El responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor.

En especial, el responsable del tratamiento debe realizar esfuerzos razonables para controlar que el proveedor del servicio de tratamiento de datos personales por medios tecnológicos tercerizados:

a) cuente con una política de protección de datos personales o condiciones de

servicio que no sean incompatibles con las disposiciones previstas en la presente ley, y que su aplicación sea efectiva, y además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;

b) informe los tipos de subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;

c) no incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad.

Capítulo 3. Derechos de los titulares de los datos

ARTÍCULO 27

Derecho de acceso. El titular de los datos, previa acreditación de su identidad, tiene el derecho de solicitar y obtener el acceso a sus datos personales que sean objeto del tratamiento.

ARTÍCULO 28

Contenido de la información. La información debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

a) las finalidades del tratamiento de datos;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

d) el plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

f) el derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

g) cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 32 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos.

La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

ARTÍCULO 29

Derecho de rectificación. El titular de los datos tiene el derecho a obtener del responsable del tratamiento la rectificación de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

ARTÍCULO 30

Derecho de oposición. El titular de los datos puede oponerse al tratamiento de sus datos, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos del titular de los datos.

ARTÍCULO 31

Derecho de supresión. El titular de los datos tiene derecho a solicitar la supresión de sus datos personales de las bases de datos del responsable del tratamiento cuando el tratamiento no tenga un fin público, a fin de que los datos ya no estén en su posesión y dejen de ser tratados por este último.

La supresión procede cuando:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recolectados;

b) el titular de los datos revoque el consentimiento en que se basa el tratamiento de datos y éste no se ampare en otro fundamento jurídico;

c) el titular de los datos haya ejercido su derecho de oposición conforme al artículo 30, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

ARTÍCULO 32

Valoraciones personales automatizadas. El titular de los datos tiene derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa.

El titular de los datos no podrá ejercer este derecho si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento;

b) está autorizada por ley;

c) se basa en su consentimiento expreso.

En los casos a que se refieren los incisos a) y c), el responsable del tratamiento debe adoptar las medidas adecuadas para salvaguardar los derechos del titular de los datos; como mínimo, el derecho a obtener intervención humana por parte del responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión.

ARTÍCULO 33

Derecho a la portabilidad de datos personales. Si se brindan servicios en forma electrónica que incluyan el tratamiento de datos personales, el titular de los datos tiene derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento en un formato estructurado y comúnmente utilizado que le permita su ulterior utilización. El titular de los datos puede solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

Este derecho no procederá cuando:

a) su ejercicio imponga una carga financiera o técnica excesiva o irrazonable sobre el responsable o encargado del tratamiento;

b) vulnere la privacidad de otro titular de los datos;

c) vulnere las obligaciones legales del responsable o encargado del tratamiento;

d) impida que el responsable del tratamiento proteja sus derechos, su seguridad o sus bienes, o los derechos, seguridad y bienes del encargado del tratamiento, o del titular de los datos o de un tercero.

ARTÍCULO 34

Ejercicio de los derechos. El ejercicio de cualquiera de los derechos del titular de los datos no es requisito previo, ni impide el ejercicio de otro.

El responsable del tratamiento debe responder y, en su caso, satisfacer los derechos del titular de los datos dentro de los DIEZ (10) días hábiles de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si a juicio del titular de los datos, la respuesta se estimara insuficiente, quedará expedito el trámite de protección de los datos personales ante la autoridad de control en los términos del artículo 72 o, a elección del titular de los datos, podrá interponer la acción de habeas data prevista en el artículo 78 de la presente ley. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite de protección ante la autoridad de control.

El ejercicio de los derechos previstos en los artículos 27, 29, 30, 31, 32 y 33 en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

El responsable del tratamiento debe establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de los datos ejercer los derechos previstos en esta ley.

El derecho de acceso a que se refiere el artículo 27 sólo puede ser ejercido en forma gratuita a intervalos no inferiores a SEIS (6) meses, salvo que se acredite la existencia de nuevas razones que justifiquen el pedido antes del vencimiento del plazo.

ARTÍCULO 35

Abuso de derecho. El ejercicio abusivo de los derechos enumerados en este capítulo no se encuentra amparado. Se considera tal el que contraría los fines de la presente ley, el que excede los límites impuestos por la buena fe o el que imponga sobre el obligado una carga técnica o financiera irrazonable.

ARTÍCULO 36

Excepciones al ejercicio de los derechos. Los responsables del tratamiento de bases de datos públicas pueden, mediante decisión fundada, denegar los derechos enumerados en los artículos 27, 29, 30, 31, 32 y 33 en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

Capítulo 4. Obligaciones de los responsables y encargados del tratamiento

ARTÍCULO 37

Medidas para el cumplimiento de la responsabilidad proactiva. Las medidas adoptadas para el cumplimiento de las disposiciones de la presente ley deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

a) la adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad;

b) la implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

c) la realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

ARTÍCULO 38

Protección de datos desde el diseño y por defecto. El responsable del tratamiento debe aplicar medidas tecnológicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas tecnológicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas humanas.

ARTÍCULO 39

Tratamiento de datos por cuenta de terceros. La prestación de servicios de tratamiento de datos por cuenta de terceros entre un responsable y un encargado del tratamiento debe quedar formalizada mediante un contrato y no requiere del consentimiento del titular de los datos. El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aun para su conservación, salvo autorización expresa del responsable del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos, en cuyo caso sólo podrán conservarse por un máximo de DOS (2) años.

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente ley.

Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

ARTÍCULO 40

Evaluación de impacto relativa a la protección de datos personales. Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales.

La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a) evaluación sistemática y exhaustiva de aspectos personales de personas humanas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas humanas o que les afecten significativamente de modo similar;

b) tratamiento de datos sensibles a gran escala, o de datos relativos a antecedentes penales o contravencionales.

ARTÍCULO 41

Contenido de la evaluación de impacto. La evaluación debe incluir, como mínimo:

a) una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

c) una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso a);

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

ARTÍCULO 42

Informe previo. El responsable del tratamiento debe informar a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento de datos entrañaría un alto riesgo.

El informe a la autoridad de control debe incluir, como mínimo, la siguiente información:

a) las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente ley;

d) en su caso, los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos.

Cuando la autoridad de control considere que el tratamiento de datos previsto pueda infringir la presente ley, iniciará el procedimiento de verificación de oficio establecido en el artículo 73.

ARTÍCULO 43

Delegado de protección de datos. Los responsables y encargados del tratamiento deben designar un delegado de protección de datos en cualquiera de los siguientes supuestos:

a) cuando revistan el carácter de autoridades u organismos públicos;

b) se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento;

c) se realice tratamiento de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un delegado de protección de datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el delegado de protección de datos designado tendrá las funciones previstas en el artículo 44.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único delegado de protección de datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único delegado de protección de datos siempre que esté en contacto permanente con cada establecimiento.

La designación del delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.

Las funciones del delegado de protección de datos pueden ser desempeñadas por un empleado del responsable o encargado del tratamiento o en el marco de un contrato de locación de servicios. El delegado de protección de datos puede ejercer otras funciones siempre que no den lugar a conflictos de intereses.

En cualquier caso, el delegado debe ejercer sus funciones sin recibir instrucciones y sólo responde ante el más alto nivel jerárquico de la organización.

ARTÍCULO 44

Funciones del delegado de protección de datos. El delegado de protección de datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

a) informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

b) promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

c) supervisar el cumplimiento de la presente ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

d) asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

e) ofrecer el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

f) cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

ARTÍCULO 45

Mecanismos de autorregulación vinculantes. La autoridad de control alentará la elaboración de mecanismos de autorregulación vinculantes que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir los objetivos señalados.

Los responsables o encargados del tratamiento pueden adherirse, de manera voluntaria, a mecanismos de autorregulación vinculantes.

Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Capítulo 5. Registro Nacional “No Llame

ARTÍCULO 46

Registro Nacional “No Llame”. Créase, en el ámbito de la autoridad de control de la presente ley, el Registro Nacional “No Llame”.

ARTÍCULO 47

Objeto y principio rector. El objeto del registro establecido por el artículo 46 es proteger los datos personales de los titulares o usuarios autorizados de los servicios de telefonía, en cualquiera de sus modalidades, del contacto, publicidad, oferta, venta y regalo de bienes o servicios no solicitados.

Las situaciones contempladas y reguladas en el presente capítulo se deben interpretar en todos los casos teniendo en cuenta el requerimiento del titular o usuario.

ARTÍCULO 48

Servicios de telefonía. A los efectos del presente capítulo, se entenderá por “servicios de telefonía” los servicios de telefonía básica, telefonía móvil, servicios de radiocomunicaciones móvil celular, de comunicaciones móviles y de voz IP, así como cualquier otro tipo de servicio similar que la tecnología permita brindar en el futuro.

ARTÍCULO 49

Inscripción. Puede inscribirse en el Registro Nacional “No Llame” toda persona humana titular o usuaria autorizada del servicio de telefonía en cualquiera de sus modalidades que manifieste su voluntad de no ser contactada por quien publicite, oferte, venda o regale bienes o servicios, sin perjuicio de lo dispuesto en el artículo 61 de la presente ley.

ARTÍCULO 50

Gratuidad y simplicidad. La inscripción y baja en el Registro Nacional “No Llame” es gratuita y debe ser implementada por medios eficaces y sencillos. Los trámites de inscripción y baja sólo pueden ser realizados por el titular o usuario de la línea telefónica.

La baja puede ser solicitada en cualquier momento y debe tener efectos inmediatos.

ARTÍCULO 51

Sujetos obligados e inscripción. Quienes publiciten, oferten, vendan o regalen bienes o servicios mediante recursos propios o a través de empresas tercerizadas o subcontratadas, utilizando como medio de contacto los servicios de telefonía en cualquiera de sus modalidades, son considerados responsables del tratamiento de datos y sujetos obligados al cumplimiento de lo previsto en el presente capítulo.

También son sujetos obligados aquellos que por cuenta de terceros realicen el contacto telefónico, sin perjuicio de la responsabilidad de quien resulte el contratante de la campaña o beneficiario directo de ésta, resultando aplicables, en el caso de corresponder, las previsiones del artículo 22.

Los sujetos obligados que contraten campañas en el exterior con efectos en el país deben adoptar las medidas apropiadas para que quien lleve a cabo la campaña publicitaria desde el extranjero dé cumplimiento a las disposiciones de la presente. Cualquier incumplimiento será atribuido al contratante o beneficiario directo de la campaña.

Es responsable solidario el titular de la línea telefónica de la que provenga el contacto de publicidad, oferta, venta y regalo de bienes o servicios no solicitados si se tratara de persona distinta a las indicadas en los párrafos precedentes. El titular de la línea telefónica podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.

Los sujetos obligados no pueden dirigirse a ninguno de los inscriptos en el Registro Nacional “No Llame”.

Quienes realicen efectivamente el contacto telefónico deben:

a) consultar las inscripciones vigentes que figuren en el Registro Nacional “No Llame” con una periodicidad de no más de TREINTA (30) días, en la forma que disponga la autoridad de control;

b) estar inscriptos en un registro habilitado por la autoridad de control para la consulta en el Registro Nacional “No Llame” prevista en el inciso a); la autoridad de control establecerá el procedimiento para esa inscripción.

En caso de duda, debe interpretarse que no corresponde el contacto telefónico con quien se hubiera inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 52

Excepciones. Quedan exceptuadas de las disposiciones del presente capítulo:

a) las llamadas de quienes tienen una relación contractual vigente, siempre que se refieran al bien o servicio específico objeto del vínculo contractual;

b) las llamadas de quienes hayan sido expresamente permitidos por el titular o usuario autorizado de los servicios de telefonía en cualquiera de sus modalidades, inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 53

Condiciones de contacto. Los contactos telefónicos de publicidad, oferta, venta y regalo de bienes o servicios no solicitados deben realizarse desde un número visible por el identificador de llamadas u otra tecnología que posea el titular o usuario de la línea telefónica.

En todos los casos, los contactos telefónicos, incluso a personas no inscriptas en el Registro Nacional “No Llame” o bajo el amparo de alguna de las excepciones previstas en el artículo 52, deben ser realizadas en forma y horario razonables y de acuerdo a la reglamentación.

ARTÍCULO 54

Denuncias. El titular o usuario autorizado del servicio de telefonía en cualquiera de sus modalidades puede realizar la denuncia por incumplimiento del presente capítulo ante la autoridad de control dentro del plazo de UN (1) mes contado desde el momento del contacto.

ARTÍCULO 55

Incumplimientos. La autoridad de control iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones del presente capítulo, aplicando el procedimiento previsto en el artículo 72, párrafos tercero y cuarto. Verificada la existencia de la infracción, quienes la hayan cometido serán pasibles de las sanciones previstas en el artículo 76.

ARTÍCULO 56

Recepción de prueba. La autoridad de control, a los fines probatorios, tendrá en cuenta los elementos de hecho e indicios de carácter objetivos aportados por el denunciante que sustenten la situación fáctica debatida, quedando a cargo del denunciado acreditar que ha dado cumplimiento con las obligaciones establecidas en el presente capítulo.

A requerimiento de la autoridad de control, los sujetos obligados deberán brindar el registro de sus llamadas salientes provisto por la empresa prestadora del servicio de telecomunicaciones de la que fueran usuarios, quien lo debe proveer en un plazo máximo de DIEZ (10) días y en las condiciones que la autoridad de control disponga.

En el marco de un sumario administrativo por incumplimientos al presente capítulo, la autoridad de control podrá requerir en un plazo razonable informes a las empresas prestadoras del servicio de telecomunicaciones sobre:

a) la existencia del contacto telefónico cuestionado;

b) la información de la titularidad de una línea telefónica.

El incumplimiento de la requisitoria a que se refieren los párrafos segundo y tercero hará pasibles a las empresas prestadoras del servicio de telecomunicaciones de las sanciones previstas en el artículo 76, inciso b).

ARTÍCULO 57

Resolución. La autoridad de control dictará la resolución que corresponda dentro de los TREINTA (30) días de recibida la prueba y producidos los alegatos si corresponden. La autoridad de control podrá prorrogar este plazo cuando la complejidad del tema a resolver sea fundamento suficiente para esa prórroga.

La resolución de la autoridad de control podrá:

a) archivar la denuncia;

b) imponer una sanción en caso de que se hubiera verificado un incumplimiento al presente capítulo.

La resolución de la autoridad de control mencionada en el inciso b) agotará la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, la resolución será recurrible por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

Capítulo 6. Supuestos especiales

ARTÍCULO 58

Bases de datos públicas. La creación, modificación o supresión de bases de datos pertenecientes a autoridades u organismos públicos debe hacerse por medio de norma de alcance general, publicada en el Boletín Oficial o diario oficial.

Las normas respectivas, deben indicar:

a) órganos responsables de la base de datos, precisando dependencia jerárquica en su caso;

b) características y finalidad de los tratamientos de datos que se efectúen;

c) personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

d) procedimiento de obtención y actualización de los datos;

e) estructura básica de la base y la descripción de la naturaleza de los datos personales que contendrán;

f) las cesiones, transferencias o interconexiones previstas;

g) las oficinas ante las que se pudiesen efectuar el ejercicio de los derechos previstos en la presente ley.

En las normas que se dicten para la supresión de las bases de datos se debe establecer el destino de éstas o las medidas que se adopten para su destrucción.

ARTÍCULO 59

Tratamiento de datos por organismos de seguridad e inteligencia. Las bases de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia quedan sujetos a las disposiciones de la presente ley. Las Comisiones Bicamerales de FISCALIZACIÓN DE ORGANISMOS Y ACTIVIDADES DE INTELIGENCIA y de FISCALIZACIÓN DE ÓRGANOS Y ACTIVIDADES DE SEGURIDAD INTERIOR del CONGRESO DE LA NACIÓN y la COMISIÓN DE DEFENSA NACIONAL de la CÁMARA DE SENADORES DE LA NACIÓN, o las que las sustituyan, tienen acceso a las bases de datos mencionadas por razones fundadas y en aquellos aspectos que constituyan materia de competencia de tales comisiones.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia, cuando sea necesario realizar sin el consentimiento del titular, queda limitado a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos.

Se deben suprimir, aun si no medie solicitud del titular, los datos personales de las bases de datos mencionadas en el primer párrafo cuando no sean necesarios para los fines que motivaron su recolección.

ARTÍCULO 60

Prestación de servicios de información crediticia.

1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes de acceso público irrestricto o restricto, o procedentes de informaciones facilitadas por el titular de los datos o con su consentimiento.

2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

3. A solicitud del titular de los datos, el responsable o encargado del tratamiento debe comunicar a aquél en forma gratuita las informaciones, evaluaciones y apreciaciones que sobre él hayan sido comunicadas durante los últimos DOCE (12) meses y la fuente de la información, incluyendo nombre y domicilio, en caso de corresponder.

4. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos CINCO (5) años a contar desde la última información significativa. El plazo se reduce a UN (1) año cuando el deudor cancele o extinga la obligación, y a CUATRO (4) meses cuando la deuda sea igual o menor a UN (1) Salario Mínimo Vital y Móvil, a contar en ambos casos a partir de la fecha precisa en que se extingue la deuda.

5. Se considera información significativa:

a) el momento en que se produce la mora del deudor;

b) las distintas calificaciones que le otorgan al deudor las entidades financieras según normativa del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA;

c) el inicio de la acción judicial de cobro;

d) la sentencia judicial que dispone el pago de la deuda;

e) la fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente;

f) aquella otra información que defina el órgano de control.

6. No se considera última información significativa la asentada en una base de datos por el sólo hecho de ser la constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.

7. La prestación de servicios de información crediticia no requiere el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, o de su transferencia internacional, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

8. Las entidades financieras que obligatoriamente cedan información relativa al cumplimiento de obligaciones de contenido patrimonial al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, deben comunicar al titular de los datos la información a ceder al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Esta comunicación se debe efectuar cuando las obligaciones pasen de cumplimiento normal a incumplimiento, sin que se deba comunicar al deudor la continuidad de tal incumplimiento y/o el agravamiento de la calificación, y dentro de los DIEZ (10) días hábiles de producida la nueva calificación.

9. Esta obligación no afectará el cumplimiento del régimen informativo del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, en su carácter de autoridad de aplicación de la Ley de Entidades Financieras nº 21.526.

10. En caso de disconformidad con el contenido de la información comunicada conforme al párrafo precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Si el titular de los datos cumple con su obligación dentro de los DIEZ (10) días hábiles de notificado, las entidades financieras no podrán ceder la información del titular al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, quien no podrá difundirla al público.

11. Previo a ceder datos personales relativos al incumplimiento de obligaciones patrimoniales a responsables o encargados del tratamiento que prestan servicios de información crediticia, los cedentes deben comunicar al titular de los datos la información a ceder y sus cesionarios al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Los tratamientos de datos efectuados por el Estado quedan exceptuados de la notificación dispuesta en el presente apartado.

12. En caso de disconformidad con el contenido de la información a ceder conforme al apartado precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Una vez cursada dicha comunicación al titular de los datos, no se requiere una nueva para realizar otras cesiones referidas a la misma obligación. La información puede ser difundida por las empresas que prestan servicios de informes crediticios luego de transcurridos DIEZ (10) días hábiles de recibida la comunicación. Si el titular de los datos cumple con su obligación dentro de dicho plazo, no podrán cederse tales datos a las empresas que prestan servicios de información crediticia.

13. Las entidades financieras no están alcanzadas por la obligación dispuesta en los dos apartados precedentes en la medida en que hayan cumplido con lo previsto en los apartados 8 y 9 del presente artículo.

Cuando se deniegue al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, sustentado en un informe crediticio, deberá informársele tal circunstancia, así como la empresa que proveyó dicho informe y hacerle entrega de una copia de éste.

14. Se debe suprimir la información relativa a los fiadores o avalistas cuando se haya cancelado o extinguido la obligación, previo pedido por parte del deudor, fiador o avalista ante la empresa de información crediticia, en la modalidad y plazos dispuestos por el artículo 34 de la presente ley.

ARTÍCULO 61

Bases destinadas a la publicidad. Pueden tratarse sin consentimiento de su titular datos personales con fines de publicidad, venta directa y otras actividades análogas, cuando estén destinados a la formación de perfiles determinados o que permitan establecer hábitos de consumo que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios.

En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente ley.

Los datos referentes a la salud sólo pueden ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la presente ley y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no pueden cederse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 15 y la mención de su derecho a oponerse al tratamiento de sus datos.

En los supuestos contemplados en el presente artículo, el titular de los datos puede ejercer el derecho de acceso sin cargo ni limitación temporal alguna. La información a suministrársele debe incluir la fuente de la que se obtuvieron sus datos, indicando, en su caso, el nombre del responsable o encargado del tratamiento que proveyó la información.

Capítulo 7. Autoridad de control

ARTÍCULO 62

Autoridad de control. Créase la AGENCIA NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (ANPDP) como órgano de control que debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley.

La ANPDP será un ente descentralizado en el ámbito del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS DE LA NACIÓN, con autarquía económica financiera, personería jurídica propia y capacidad de actuación en el ámbito del derecho público y privado.

La ANPDP será dirigida, administrada y representada por un Director Ejecutivo designado por el término de CUATRO (4) años, por el PODER EJECUTIVO NACIONAL con posibilidad de ser reelegido por una única vez. El Director Ejecutivo a cargo de la ANPDP tendrá rango y jerarquía de secretario de Estado. El Director Ejecutivo tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos.

ARTÍCULO 63

Selección del Director Ejecutivo. El procedimiento de selección del Director Ejecutivo de la ANPDP se llevará a cabo de conformidad con lo dispuesto a continuación:

a) el PODER EJECUTIVO NACIONAL propondrá UNA (1) persona y publicará el nombre, apellido y sus antecedentes curriculares en el Boletín Oficial y en DOS (2) diarios de circulación nacional, durante TRES (3) días;

b) el candidato deberá presentar una declaración jurada, conforme la normativa prevista en la Ley de Ética en el Ejercicio de la Función Pública nº 25.188, y su reglamentación;

c) se requerirá a la ADMINISTRACIÓN FEDERAL DE INGRESOS PÚBLICOS (AFIP) un informe relativo al cumplimiento de las obligaciones impositivas del candidato;

d) los ciudadanos, las organizaciones no gubernamentales, los colegios, las asociaciones profesionales y las entidades académicas podrán, en el plazo de QUINCE (15) días contados desde la última publicación en el Boletín Oficial prevista en el inciso a) del presente artículo, presentar al organismo a cargo de la organización de la audiencia pública observaciones respecto del candidato, por escrito y de modo fundado y documentado.. Sin perjuicio de las presentaciones que se realicen, en el mismo plazo podrá requerirse opinión a organizaciones de relevancia en el ámbito profesional, judicial y académico a los fines de su valoración;

e) dentro de los QUINCE (15) días, contados desde el vencimiento del plazo establecido en el inciso d) del presente artículo, se deberá celebrar una audiencia pública para la evaluación de las observaciones presentadas. Con posterioridad y en un plazo de SIETE (7) días de celebrada la audiencia, el PODER EJECUTIVO NACIONAL tomará la decisión de confirmar o retirar la candidatura de la persona propuesta, debiendo en este último caso proponer a un nuevo candidato y reiniciar el procedimiento de selección.

ARTÍCULO 64

Cese de pleno derecho del Director Ejecutivo. El Director Ejecutivo cesará de pleno derecho en sus funciones de mediar alguna de las siguientes circunstancias:

a) aceptación de la renuncia;

b) expiración del plazo de designación;

c) fallecimiento.

ARTÍCULO 65

Remoción del Director Ejecutivo. El Director Ejecutivo podrá ser removido por estar comprendido en alguna situación que le genere incompatibilidad o inhabilidad, mal desempeño, por delito en el ejercicio de sus funciones o por crímenes comunes. El PODER EJECUTIVO NACIONAL llevará adelante el procedimiento de remoción del Director Ejecutivo de la ANPDP, dándole intervención a una comisión bicameral del HONORABLE CONGRESO DE LA NACIÓN, que será presidida por el presidente del SENADO y estará integrada por los presidentes de las Comisiones de ASUNTOS CONSTITUCIONALES y de DERECHOS Y GARANTÍAS de la HONORABLE CÁMARA DE SENADORES DE LA NACIÓN y las de ASUNTOS CONSTITUCIONALES y de DERECHOS HUMANOS Y GARANTÍAS de la HONORABLE CÁMARA DE DIPUTADOS DE LA NACIÓN, la cual emitirá un dictamen vinculante.

Producida la vacante, deberá seguirse el procedimiento de selección establecido en el artículo 63 para elegir a un nuevo Director en un plazo no mayor a TREINTA (30) días.

ARTÍCULO 66

Deberes y funciones del Director Ejecutivo. El Director Ejecutivo tendrá los siguientes deberes y funciones:

a) ejercer la representación, dirección y administración general de la ANPDP, suscribiendo a tal fin los actos administrativos pertinentes;

b) representar al Estado nacional o designar personal idóneo para su representación, en todos aquellos procesos que se desarrollen ante tribunales judiciales o arbitrales, o ante organismos con facultades jurisdiccionales en los que se debatan asuntos de competencia de la ANPDP;

c) dictar las normas reglamentarias necesarias para el funcionamiento operativo del organismo;

d) toda otra atribución necesaria para el cumplimiento de las funciones del organismo.

ARTÍCULO 67

Personal de la autoridad de control. La ANPDP deberá contar con el personal técnico y administrativo que establezca la Ley de Presupuesto General de la Administración Nacional. El personal estará obligado a guardar secreto respecto de los datos de carácter personal de los que tome conocimiento en el desarrollo de sus funciones.

ARTÍCULO 68

Financiación. LA ANPDP se financiará a través de:

a) lo que recaude en concepto de tasas que se fijen por ley por los servicios que preste;

b) el producido de las multas referidas en esta ley;

c) las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto General de la Administración Nacional.

ARTÍCULO 69

Patrimonio. La ANPDP tendrá un patrimonio integrado con los siguientes bienes:

a) los adquiridos hasta la fecha de la sanción de la presente ley, que se encuentran incorporados al Estado nacional con afectación a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES;

b) los que adquiera la ANPDP posteriormente conforme a las disposiciones y leyes que le fueran aplicables.

ARTÍCULO 70

Facultades de la autoridad de control. La ANPDP deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:

a) asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de sus derechos;

b) dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c) atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente ley;

d) controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente ley y las reglamentaciones que dicte la autoridad de control; a tal efecto, podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de esta ley;

e) solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f) imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten en su consecuencia;

g) percibir las tasas que se fijen por ley por los servicios de inscripción y otros que preste;

h) constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente ley;

i) homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento;

j) diseñar su estructura orgánica de funcionamiento y designar a su planta de agentes;

k) elaborar su presupuesto anual;

l) solicitar información a los delegados de protección de datos, en los términos de lo previsto en la presente ley;

m) publicar un informe anual de rendición de cuentas de gestión;

n) elaborar y presentar ante el HONORABLE CONGRESO DE LA NACIÓN propuestas de reforma legislativa respecto de su área de competencia;

ñ) celebrar convenios de cooperación y contratos con organizaciones públicas o privadas, nacionales o extranjeras, en el ámbito de su competencia, para el cumplimiento de sus funciones.

Capítulo 8. Procedimientos y sanciones

ARTÍCULO 71

Procedimiento. A los efectos de constatar el cumplimiento de las disposiciones de la presente ley, la autoridad de control podrá iniciar procedimientos:

a) a instancias del titular de los datos o de su representante legal;

b) de verificación de oficio;

c) de verificación por denuncia de un tercero.

La autoridad de control podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable del tratamiento.

De llegarse a un acuerdo de conciliación entre ambos, esté se hará constar por escrito y tendrá efectos vinculantes.

La autoridad de control determinará el procedimiento que se aplicará a la conciliación.

ARTÍCULO 72

Trámite de protección de los datos personales. El titular de los datos o su representante legal puede iniciar un trámite de protección de los datos personales presentando ante la autoridad de control una solicitud, de manera escrita y por cualquier medio habilitado por la autoridad de control, expresando con claridad el contenido de su requerimiento y de los preceptos de esta ley que se consideran vulnerados. La presentación debe realizarse ante la autoridad de control dentro de los TREINTA (30) días siguientes a la fecha en que se comunique la respuesta al titular de los datos por parte del responsable del tratamiento, de acuerdo a lo previsto en el artículo 34, párrafos segundo y tercero, de la presente ley.

En el caso de que el titular de los datos no reciba respuesta por parte del responsable del tratamiento dentro de los DIEZ (10) días hábiles de haberlo intimado fehacientemente, basta que el titular de los datos acredite la fecha en que presentó la solicitud ante el responsable del tratamiento.

Iniciado el trámite de protección de los datos personales previsto en este artículo ante la autoridad de control, se dará traslado de aquél al responsable del tratamiento, para que en el plazo de DIEZ (10) días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

La autoridad de control admitirá las pruebas que estime pertinentes. Asimismo, podrá solicitar del responsable del tratamiento las demás pruebas que considere necesarias. Concluida la recepción de pruebas, la autoridad de control notificará al responsable del tratamiento el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los CINCO (5) días hábiles siguientes a su notificación.

ARTÍCULO 73

Trámite de verificación de oficio o por denuncia de un tercero. La autoridad de control verificará el cumplimiento de la presente ley y de la normativa que de ésta derive. La verificación podrá iniciarse de oficio o por denuncia de un tercero.

A efectos de practicar la verificación, la autoridad de control tendrá acceso a la información y documentación que considere necesarias, de acuerdo a lo previsto en la presente ley y a la reglamentación correspondiente.

En caso de que corresponda, se aplicará al trámite lo previsto en el artículo 72, párrafos tercero y cuarto, de la presente ley.

ARTÍCULO 74

Resolución. La resolución de la autoridad de control podrá:

a) archivar los trámites mencionados en los artículos 72 y 73 de la presente ley;

b) en caso de considerar que asiste derecho al titular de los datos, requerirle al responsable del tratamiento que haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento a la autoridad de control dentro de los QUINCE (15) días hábiles de efectuado;

c) de verificarse incumplimientos a la presente ley, imponer una sanción de las previstas en el artículo 76.

d) La autoridad de control dictará la resolución que corresponda dentro de un plazo razonable, atendiendo a la complejidad del tema a resolver.

ARTÍCULO 75

Recursos. Las resoluciones de la autoridad de control agotarán la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, las resoluciones previstas en el artículo 76 serán recurribles por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

ARTÍCULO 76

Sanciones. Una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del responsable del tratamiento o del encargado del tratamiento, la autoridad de control impondrá las medidas o las sanciones correspondientes.

La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones:

a) apercibimiento;

b) multa que podrá alcanzar el equivalente a QUINIENTOS (500) Salarios Mínimo Vital y Móvil vigentes al momento de la imposición de la sanción;

c) suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de SEIS (6) meses; en el acto de suspensión se indicarán los correctivos que se deberán adoptar;

d) cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la autoridad de control;

e) cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Al ordenar la suspensión o cierres previstos en los incisos c), d) y e) la autoridad de control podrá ordenar que, de manera temporal o definitiva, se retire, bloquee, suspenda y/o inhabilite el acceso a los datos personales a los que los responsables del tratamiento den acceso, interconecten, transmitan o direccionen, almacenen, alojen, intermedien, enlacen o busquen, que lesionen derechos legalmente reconocidos. A tal efecto, la autoridad de control deberá precisar, de acuerdo a lo informado por el titular de los datos, el enlace en el que se encuentren alojados los datos personales o los procedimientos para acceder a aquél. En ningún caso, estas medidas podrán afectar el derecho a la libertad de expresión e información.

Las sanciones indicadas en el presente artículo sólo se aplican para las personas de naturaleza privada. En el caso en el cual la autoridad de control advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la autoridad que corresponda para que inicie la investigación respectiva.

En todos los casos, la autoridad de control podrá disponer, a costa del responsable, la publicación de la resolución en el diario de mayor circulación de la jurisdicción donde se encuentre establecido el responsable.

ARTÍCULO 77

Gradación. Las sanciones por infracciones a las que se refiere el artículo 76 se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) la dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;

b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;

c) la reincidencia en la comisión de la infracción;

d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la autoridad de control;

e) el incumplimiento de los requerimientos u órdenes impartidas por la autoridad de control;

f) el reconocimiento o aceptación expreso que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

La designación voluntaria de un delegado de protección de datos, la adopción de mecanismos de autorregulación vinculantes, la realización de una evaluación de impacto en los términos del artículo 40 y la notificación oportuna de incidentes de seguridad, serán merituados como atenuantes de la sanción que corresponda, sin perjuicio de otros que pueda considerar la autoridad de control.

Capítulo 9. Acción de habeas data

ARTÍCULO 78

Procedencia. La acción de habeas data procede para tutelar los derechos que resulten restringidos, alterados, lesionados o amenazados por un tratamiento de datos personales contrario a la presente ley por parte de las autoridades públicas o por particulares. Esta acción procederá especialmente para ejercer los derechos de acceso, rectificación, oposición, cancelación y portabilidad de los datos previstos en la presente ley.

En los casos en que se presuma o se hubiera verificado la falsedad, inexactitud, desactualización de la información de que se trata, o se hubiera realizado un tratamiento de datos ilícito o prohibido, la acción de habeas data procederá para ejercer los derechos de rectificación, de oposición, o de supresión previstos en los artículos 29, 30 y 31; el derecho de oposición también podrá ser ejercido en los supuestos del artículo 32 de la presente ley.

ARTÍCULO 79

Legitimación activa y pasiva. La acción de habeas data podrá ser ejercida por el titular de los datos afectado, sus tutores, curadores o por el titular de la responsabilidad parental o tutela en caso de niños, niñas o adolescentes. En el caso de las personas humanas fallecidas, la acción podrá ser ejercida por sus sucesores universales.

La acción podrá ser también intentada en representación plural, sectorial o colectiva, siempre que su objeto se limite a la impugnación de tratamientos que conlleven violaciones generalizadas, pero en tal caso los promotores de tales acciones no podrán tener acceso a los datos de las demás personas que integran el colectivo por ellas representados, sino sólo a los datos propios. Tendrán legitimación para interponer esta acción el titular de los datos, el Defensor del Pueblo, las asociaciones sectoriales, la autoridad de control y el Ministerio Público.

En el proceso podrá intervenir, en forma coadyuvante y cuando corresponda, la autoridad de control, quien será notificada del inicio de la acción de habeas data.

La acción procede respecto de los responsables del tratamiento. Excepcionalmente los responsables del tratamiento podrán interponer la acción contra otros responsables o encargados del tratamiento cuando éstos últimos incumplan con sus obligaciones legales o convencionales y esto pueda acarrearles perjuicio.

ARTÍCULO 80

Competencia. Será competente para entender en esta acción el juez del domicilio del actor o del demandado, a elección del actor.

Procederá la competencia federal cuando la acción:

a) se interponga en contra de los responsables del tratamiento que sean parte de la Administración Pública Nacional;

b) se interponga en contra del responsable del tratamiento de datos accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 81

Procedimiento aplicable. La acción de habeas data tramitará según las disposiciones de la presente ley y, supletoriamente, según el procedimiento que corresponde a la acción de amparo común y según las normas del CÓDIGO PROCESAL CIVIL Y COMERCIAL DE LA NACIÓN, en lo atinente al juicio sumarísimo.

El juez dispondrá de amplias facultades para adaptar los procedimientos de acuerdo a las circunstancias particulares del caso y a fin de dar mayor eficacia tuitiva al proceso.

ARTÍCULO 82

Requisitos de la demanda. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del responsable del tratamiento y, en su caso, el nombre de la base de datos o cualquier otra información que pudiera ser útil a efectos de identificarla. En el caso de bases de datos públicas, se procurará establecer autoridad u organismo público del cual dependan el responsable o el encargado del tratamiento.

El accionante deberá alegar las razones por las cuales entienda que se esté

efectuando tratamiento de datos referido a su persona y los motivos por los cuales considere que procede el ejercicio de los derechos que le reconoce la presente ley. Deberá asimismo justificar el cumplimiento de los recaudos que hacen al ejercicio de tales derechos.

El accionante podrá solicitar al Juez que, mientras dure el procedimiento, el responsable o el encargado del tratamiento informe que la información cuestionada está sometida a un proceso judicial.

El juez podrá disponer el bloqueo provisional del acceso a la base de datos en lo referente a los datos personales motivo del juicio cuando sea manifiesto el carácter ilícito del tratamiento de esos datos o ellos sean inequívocamente falsos o inexactos.

ARTÍCULO 83

Trámite. Admitida la acción, el juez requerirá al responsable del tratamiento la remisión de la información concerniente al accionante y el ofrecimiento de la prueba pertinente. Podrá asimismo solicitar, en caso que corresponda, esa información al encargado del tratamiento o al delegado de protección de datos. También podrá requerir informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

El plazo para contestar el informe no podrá ser mayor de CINCO (5) días hábiles, el que podrá ser ampliado prudencialmente por el juez.

Los responsables o encargados del tratamiento o delegados de protección de datos no podrán alegar la confidencialidad de la información que se les requiere, salvo el caso en que se afecten las fuentes de información periodística.

Cuando un responsable o encargado del tratamiento o delegado de protección de datos se oponga a la remisión del informe solicitado, con invocación de las excepciones autorizadas por la presente ley o por una ley específica, deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de la información requerida manteniendo su confidencialidad.

ARTÍCULO 84

Contestación del informe. Al contestar el informe, el responsable o encargado del tratamiento o el delegado de protección de datos deberá expresar las razones por las cuales efectuó el tratamiento cuestionado y, en su caso, aquellas razones por las que no evacuó el pedido efectuado por el accionante.

ARTÍCULO 85

Ampliación de la demanda. Contestado el informe, el actor podrá, en el término de TRES (3) días, ampliar el objeto de la demanda, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por igual término para que conteste y ofrezca prueba.

ARTÍCULO 86

Sentencia. Vencido el plazo para la contestación del informe o contestado éste, y en el supuesto del artículo 85, luego de contestada la ampliación y en su caso, habiendo sido producida la prueba, el juez dictará sentencia.

En el caso de estimarse procedente la acción, se especificará si la información debe ser bloqueada, suprimida, rectificada, o actualizada, estableciendo un plazo para su cumplimiento. En ningún caso, la sentencia podrá afectar el derecho a la libertad de expresión e información.

El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el demandado.

En cualquier caso, la sentencia deberá ser comunicada a la autoridad de control.

Contra la sentencia procede el recurso de apelación.

Capítulo 10. Disposiciones transitorias

ARTÍCULO 87

Estructura organizativa. En el plazo de CIENTO OCHENTA (180) días hábiles posteriores a la asunción de su cargo, el Director Ejecutivo de la ANPDP presentará un proyecto de estructura organizativa y reglamentación interna, para su aprobación por el PODER EJECUTIVO NACIONAL y publicación en el Boletín Oficial.

Incorpórese a la planta de personal de la ANPDP a quienes, a la fecha de entrada en vigencia de la presente ley, cumplan funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y hayan sido contratados en el marco de las Leyes nros. 23.283 y 25.164. A dicho personal se le respetarán los beneficios y condiciones laborales actuales. El personal contratado en el marco de la Ley nº 23.283, que a la fecha de entrada en vigencia de la presente ley, se encuentre cumpliendo funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y no acepte ser incorporado a la planta de la ANPDP, tendrá derecho a percibir la indemnización correspondiente por cese laboral en los términos de lo previsto por la Ley nº 20.744, la que será solventada por el Fondo de Cooperación Técnica y Financiera previsto en el artículo 8° de la Ley nº 23.283.

ARTÍCULO 88

Presupuesto. Instrúyase al Jefe de Gabinete de Ministros para que, en uso de sus facultades, efectúe las reestructuraciones presupuestarias que fueren necesarias a los efectos de asignar los créditos, cargos y cualquier otra adecuación necesaria para el financiamiento de la ANPDP.

Deberá preverse en el presupuesto correspondiente la incorporación de los recursos necesarios para el correcto cumplimiento de las funciones de la ANPDP.

Transfiérase la totalidad de los bienes, presupuesto vigente, activos, patrimonio y personal de la actual DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Una vez canceladas las deudas que en la actualidad mantenga el ente cooperador que hubieran sido autorizadas conforme la normativa vigente, los saldos resultantes del fondo de cooperación técnica y financiera serán ingresados a la cuenta de Rentas Generales del Tesoro de la Nación, la cual generará las correspondientes partidas presupuestarias con afectación específica a la ANPDP.

ARTÍCULO 89

Reglamentación. El PODER EJECUTIVO NACIONAL reglamentará la presente ley dentro de los CIENTO OCHENTA (180) días desde su promulgación.

ARTÍCULO 90

Vigencia. Las disposiciones de la presente ley entrarán en vigencia a los DOS (2) años de su publicación en el Boletín Oficial.

Los responsables y encargados del tratamiento contarán con el plazo máximo de DOS (2) años desde la publicación de la presente ley en el Boletín Oficial, para adaptarse a las obligaciones contenidas en ella. En dicho plazo, conservarán plena vigencia las Leyes nros. 25.326, 26.343 y 26.951, sus normas reglamentarias y las demás disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

El Registro Nacional “No Llame”, creado por la Ley nº 26.951, será transferido al nuevo registro creado por el artículo 46 de la presente ley de acuerdo a lo que prevea su reglamentación.

Capítulo 11. Disposiciones finales

ARTÍCULO 91

Orden público y jurisdicción federal. Las normas de la presente ley contenidas en los Capítulos 1, 2, 3, 4, y 6 son de orden público y de aplicación en lo pertinente en todo el territorio nacional.

Se invita a las provincias a adherir a las normas de esta ley que fueren de aplicación exclusiva en jurisdicción nacional.

La competencia federal regirá respecto de:

a) los tratamientos de datos efectuados por las autoridades u organismos públicos pertenecientes a la Administración Pública Nacional;

b) los tratamientos de datos efectuados por el sector privado, cuando los datos se encuentren accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 92

Referencias. Las referencias de aquellas normas que hagan mención a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerarán hechas a la ANPDP, su competencia o sus autoridades, respectivamente.

ARTÍCULO 93

Derogación. Deróganse las Leyes nros 25.326, 26.343 y 26.951.

ARTÍCULO 94

Comuníquese al PODER EJECUTIVO NACIONAL.

07May/21

Ley nº 6534/20 de 27 de octubre de 2020

Ley nº 6534/20 de 27 de octubre de 2020. Ley de Protección de Datos Personales Crediticios. (Deroga la ley 1682/01,de 28 de diciembre de 2000).

LEY N° 6534 DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON FUERZA DE LEY:

CAPÍTULO I. DISPOSICIONES GENERALES.

Artículo 1°.- OBJETO.

La presente Ley tiene por objeto garantizar la protección de datos crediticios de toda persona, cualquiera sea su nacionalidad, residencia o domicilio.

También se busca regular la actividad de recolección y el acceso a datos de información crediticia, así como la constitución, organización, funcionamiento, derechos, obligaciones y extinción de las personas jurídicas que se dediquen a la obtención y provisión de información crediticia, con el fin de preservar los derechos fundamentales, la intimidad, la autodeterminación informativa, la libertad, la seguridad y el trato justo de las personas, de conformidad con lo establecido en la Constitución Nacional, la presente Ley y los Tratados suscritos y ratificados por la República del Paraguay.

Artículo 2°.- ÁMBITO DE APLICACIÓN.

Esta Ley es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en el territorio nacional en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.

Artículo 3°.- DEFINICIONES.

A los efectos de la presente Ley, se entiende por:

Datos Personales: Información de cualquier tipo, referida a personas jurídicas o personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Los derechos y garantías de protección de datos personales serán extendidos a personas jurídicas en cuanto le sean aplicables.

Datos personales sensibles: Aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. Se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.

Titular de Datos: Persona física o jurídica, cuyos datos son objeto de tratamiento.

Base de datos: Cualquier plataforma, archivo, registro o banco de información que contenga de manera manual o electrónica, o de cualquier otra índole que pudiera surgir, información referida a las personas.

Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

Responsable del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

Encargado del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Información crediticia: Es aquella información, positiva y negativa, relacionada con el historial crediticio de personas físicas y jurídicas, acerca de actividades crediticias, comerciales y otras de naturaleza análoga, que sirva para identificar correcta e inequívocamente a la persona, su domicilio, actividad comercial, determinar su nivel de endeudamiento, de cumplimiento de sus obligaciones y, en general, de riesgos crediticios en un determinado momento.

Fuentes de información: Cualquier persona o entidad pública o privada que en el ejercicio de sus funciones o actividades, gestionen una base de datos personales o crediticios.

Fuentes de información crediticia: Son las personas públicas y privadas que, debido a sus actividades, poseen información crediticia. A los efectos de esta Ley, serán consideradas fuentes de información los Organismos y Entidades del Estado, y Entidades Administradoras de Fondos Previsionales que, por su naturaleza y funciones, posean información relevante para el análisis del riesgo crediticio.

Sociedad de información crediticia: Conocida también como Buró de Información Crediticia. Es la sociedad cuyo objeto social es la prestación de servicios de referencias crediticias sobre el titular de la información crediticia, que se adecuen a los requisitos establecidos en esta Ley.

Usuario de información crediticia: Toda persona, física o jurídica, con interés legítimo que contrata la prestación de servicios de referencias crediticias. El interés legítimo está configurado por el empleo del crédito bajo sus diversas modalidades o la intermediación para el perfeccionamiento de este tipo de operaciones, como herramienta habitual de gestión en la actividad económica desarrollada, incluidos los contratos con prestaciones diferidas que impliquen pagos periódicos de sumas de dinero por plazos determinados, así como relaciones comerciales que pudieran existir entre los usuarios y titular del derecho.

Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular de datos acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.

Artículo 4°.- PROHIBICIÓN.

Se prohíbe dar a publicidad o difundir datos sensibles de personas que sean explícitamente individualizadas o individualizables.

Artículo 5°.- DERECHO A LA AUTODETERMINACIÓN INFORMATIVA.

Se garantiza a toda persona el acceso a la información y a los datos sobre sí misma, sobre quienes se hallen bajo su patria potestad y sobre personas que acredite se hallen bajo su tutela o curatela, así como sobre sus bienes, que obren en registros oficiales o privados de carácter público o en entidades que suministren información sobre solvencia económica y situación patrimonial, así como conocer el uso que se haga de los mismos o su finalidad y a requerir su acceso, rectificación, cancelación y oposición.

Artículo 6°.- DEL CONSENTIMIENTO INFORMADO.

Toda persona tiene derecho a ser informada en forma expresa y clara sobre la finalidad que se dará a los datos personales requeridos sobre ella, a fin de manifestar expresamente su consentimiento para la obtención y utilización de sus datos personales, el cual deberá ser expreso e inequívoco, en condiciones que no admitan dudas de su otorgamiento y deberá constar de manera escrita, electrónica, digital u otro mecanismo fehaciente. El consentimiento podrá ser revocado de forma expresa en las mismas condiciones y a título gratuito. Este acto no generará efecto retroactivo.

El tratamiento y la cesión de datos personales son ilícitos cuando el titular de los datos no hubiere prestado su consentimiento libre, expreso y consciente.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 7°.- CALIDAD DE LA INFORMACIÓN.

Los datos personales recolectados o almacenados deberán ser lícitos, exactos, completos, veraces y actualizados para el fin específico para los que fueron recolectados.

Artículo 8°.- EJERCICIOS DE LOS DERECHO DEL TITULAR DE DATOS.

El titular de datos o su representante tiene derecho a acceder a los datos personales que de ella consten en registros mantenidos por personas físicas o jurídicas, públicas o privadas, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento.

Éste podrá solicitar, en cualquier momento al responsable, el acceso, actualización, rectificación, la supresión, oposición y portabilidad de los datos personales que le conciernen.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

En caso de personas fallecidas, el ejercicio de los derechos establecidos en la presente Ley corresponderá a sus herederos o legatarios.

Artículo 9°.- DERECHO AL OLVIDO DE DATOS CREDITICIOS.

La conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo de 5 (cinco) años, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados los datos personales de su titular.

Artículo 10.- SEGURIDAD DE LOS DATOS.

El responsable del tratamiento de los datos personales crediticios deberá garantizar la adopción e implementación de medidas técnicas, organizativas y de seguridad necesarias para salvaguardar el acceso y la integridad de los datos personales, a fin de evitar su alteración, pérdida, consulta, comercialización o acceso no autorizado.

Artículo 11.- DEBER DE SECRETO.

Las personas responsables, encargadas del tratamiento de datos crediticios y quienes intervengan en cualquier fase de la recolección, procesamiento, almacenamiento, utilización o circulación de datos con fines crediticios están obligados a guardar el secreto respecto de los mismos, salvo que requiera ser revelado por autoridad competente mediando orden judicial.

El deber de secreto se mantiene aun cuando la persona responsable cese en sus funciones.

Esta obligación es extensible a las personas debidamente reconocidas como usuarios o suscriptores de una Empresa de Información Crediticia, que tengan acceso, de conformidad con lo establecido en la Ley, al historial de datos de un titular; pues deberán guardar absoluta reserva y cuidado sobre la información obtenida.

El deber de secreto no regirá cuando la información sea requerida por:

El Banco Central del Paraguay y sus órganos de supervisión, en ejercicio de sus facultades legales.

La autoridad judicial competente, en virtud de resolución dictada en juicio en el que el afectado sea parte. En tal caso, deberán adoptarse las medidas pertinentes que garanticen la reserva.

El Contralor General de la República, en el marco de sus atribuciones, sobre la base de las siguientes condiciones:

 Debe referirse a una persona física o jurídica determinada.

Debe encontrarse en curso una auditoría o verificación patrimonial con respecto a esa persona.

La misma deberá ser solicitada formalmente.

La máxima autoridad de la Subsecretaría de Estado de Tributación y de la Dirección Nacional de Aduanas, en el marco de sus atribuciones, sobre la base de las siguientes condiciones:

Debe referirse a un responsable o contribuyente determinado.

La información deberá ser solicitada formalmente.

Debe encontrarse en curso una verificación con respecto a ese responsable o contribuyente.

La Fiscalía General del Estado y los agentes fiscales que conforman el Ministerio Público, en el marco de las atribuciones que le son legalmente conferidas por la legislación.

La Secretaría de Prevención de Lavado de Dinero o Bienes, en el marco de las atribuciones que le son legalmente conferidas por la legislación.

CAPÍTULO II. DE LOS SERVICIOS DE INFORMACIÓN CREDITICIA.

Artículo 12.- PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA.

Las personas jurídicas que presten servicios de información crediticia tanto del sector financiero como del no financiero, podrán tratar datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes públicas o que procedan de informaciones facilitadas por el titular de los datos o con su consentimiento, que permitan conocer el cumplimiento de sus obligaciones y todo aquel que contribuya al análisis de su perfil crediticio y determinar su capacidad de pago.

Igualmente se incluirán las morosidades de prestación alimenticia, desde el momento de la iniciación de la demanda.

Artículo 13.- BURÓS DE INFORMACIÓN CREDITICIA.

Los servicios de referencias crediticias sólo podrán ser prestados por las sociedades de información crediticia, las que serán conocidas como Burós de Información Crediticia y autorizadas para operar como tales por el Banco Central del Paraguay.

La supervisión estará a cargo del Banco Central del Paraguay, de acuerdo a la reglamentación que éste determine por resolución de carácter general. Los requisitos que deberán contener las solicitudes de apertura de sociedades de información crediticia, las inhabilidades, incompatibilidades de sus directores o gerentes, así como los requisitos que deben reunir estas sociedades y sus accionistas, serán reglamentados por el Directorio del Banco Central del Paraguay.

El capital social mínimo requerido para la constitución de las sociedades de información crediticia será determinado por el Banco Central del Paraguay y deberá estar íntegramente suscripto e integrado al momento de su constitución.

Artículo 14.- DE LOS USUARIOS.

Las sociedades de información crediticia sólo podrán prestar servicios de referencias crediticias a usuarios de información crediticia debidamente identificados.

Sólo podrán ser usuarios de información crediticia:

a) Las entidades de intermediación financiera y de crédito, supervisadas por el Banco Central del Paraguay.

b) Las entidades controladas por el Instituto Nacional de Cooperativismo (INCOOP).

c) Las personas físicas o jurídicas que en forma empresarial otorguen crédito.

d) Las mutuales, casas de préstamos y casas de empeño.

e) Las personas físicas y jurídicas que cuenten con el Registro Único de Contribuyentes y la patente (licencia) comercial actualizados, que se dediquen de manera habitual a la venta a crédito de productos, así como aquellas que presten servicios instrumentados en contratos de ejecución diferida, que impliquen pagos periódicos de sumas de dinero por plazos determinados, o que requieran analizar información crediticia para la toma de decisiones de negocio.

f) Las personas físicas y jurídicas que cuenten con el Registro Único del Contribuyentes y la patente (licencia) comercial actualizados y que mediante el uso de plataformas tecnológicas, funcionen como un canal o medio para facilitar la intermediación o la conexión de los créditos ofrecidos por los demás usuarios a los titulares de datos, permitiendo que éste pueda acceder a la oferta de crédito que se ajuste a su perfil crediticio de forma eficiente.

Para el eficaz funcionamiento del sistema de información crediticia, los usuarios de información crediticia estarán obligados a proveer regularmente a las sociedades de información crediticia los datos actualizados de los clientes de su cartera crediticia, en especial la información de cumplimiento de obligaciones crediticias, las que deberán ser notificadas en el plazo máximo de veinticuatro horas de cancelación.

Artículo 15.- PROHIBICIONES.

Está expresamente prohibido a los usuarios de Información crediticia utilizar o proveer a terceros datos crediticios para que éstos sean utilizados para la toma de decisiones laborales, acceso al empleo, promoción, traslado o despido de personal.

Asimismo, queda expresamente prohibido el uso de la información crediticia para negar o restringir el acceso a la medicina prepaga, así como negar o restringir al acceso a la atención médica de urgencia a cualquier persona.

Artículo 16.- DERECHOS DE LOS TITULARES DE LA INFORMACIÓN CREDITICIA.

Los titulares de la información tendrán derecho a:

a) Conocer si en la base de datos de una sociedad de información crediticia existe información sobre sí mismo y, si así fuere, acceder de forma personal a ella sin restricción alguna.

b) Conocer de manera clara y precisa la condición en que se encuentra su historial crediticio, a través de los reportes emitidos.

c) Exigir de la fuente de información crediticia, la actualización, rectificación o eliminación de la información ilegal, inexacta, incompleta, que afecte sus derechos constitucionales y comunicarla a la sociedad de información crediticia para que ésta la rectifique.

La información debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible. Además de ello, la información debe versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales.

El acceso, la rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el titular del dato o la información.

Artículo 17.- OBLIGACIONES DE LOS BURÓS DE INFORMACION CREDITICIA.

Son obligaciones de las sociedades de información crediticia, enunciativa y no limitativamente, las siguientes:

a) Manejar la información con altos estándares de ética, confidencialidad y seguridad.

b) Contar con medidas eficientes que impidan que la información crediticia pueda perderse o ser alterada.

c) Reportar la información crediticia sin alteración o modificación alguna.

d) Rectificar la información crediticia, a pedido de la fuente o del titular de la información. Las sociedades de información crediticia no pueden rectificar de oficio la información que les ha sido transmitida, salvo que el error pueda ser atribuido a las sociedades de información crediticia.

e) Canalizar hacia las fuentes de la información, los reclamos de los titulares en relación a información ilegal, inexacta, errónea, cuando la ilegalidad, inexactitud o error no sea atribuible a la sociedad de información crediticia.

f) Mantener actualizados los datos del registro que gestiona, referidos tanto a información positiva o negativa.

g) Eliminar la información que hubiese caducado conforme a los términos de la presente Ley.

h) Informar, a solicitud del titular de los datos, de manera verbal o escrita, sobre el historial completo de datos personales crediticios. La información deberá ser entregada dentro del plazo máximo de veinticuatro horas si no estuviese disponible de manera inmediata.

i) No tramitarán ni divulgarán:

Los datos crediticios de deudas vencidas no reclamadas judicialmente que hayan superado 3 (tres) años de inscripción.

Las deudas canceladas de manera inmediata, una vez recibida la notificación de la fuente de información.

Sobre juicios de convocatoria de acreedores después de 5 (cinco) años de la resolución judicial que la admita.

El Banco Central del Paraguay podrá imponer otras obligaciones a través de resoluciones generales.

Artículo 18.- OBLIGACIONES DE LOS USUARIOS.

Son obligaciones de los usuarios de los servicios de información crediticia, enunciativa y no limitativamente, las siguientes:

Entregar a las sociedades de información crediticia la información positiva y negativa de sus propios clientes.

Utilizar la información crediticia consultada a las sociedades de información crediticia en forma confidencial y destinarla solo a la evaluación de riesgos crediticios.

Informar sobre la venta o cesión de carteras de crédito a empresas especializadas en la adquisición de deudas o a otros adquirentes o cesionarios a las sociedades de información crediticia, con las cuales tenga celebrado un contrato de prestación de servicios de información crediticia, dentro de los 20 (veinte) días hábiles siguientes a la citada notificación, debiendo mencionar el nombre, domicilio, Registro Único del Contribuyente y cualquier otro dato que permita identificar plenamente al comprador o cesionario, así como la fecha en que se celebró la cesión o venta.

En caso de denegación al titular de los datos de la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, basado en un informe crediticio, el usuario deberá informar tal circunstancia, así como la de proveer el informe accedido, entregando copia de éste.

Los usuarios de la información de crédito, deberán informar al titular de los datos personales sobre la consulta a realizarse sobre su información crediticia, la empresa que proveerá los datos, el uso que se dará a los datos accedidos, copia del informe accedido en caso de que el titular de los datos lo requiera y los derechos que le asisten.

El Banco Central del Paraguay podrá imponer otras obligaciones a través de resoluciones de carácter general.

Artículo 19.- PLAZO DE CONSERVACIÓN DE LA INFORMACIÓN CREDITICIA. La información crediticia podrá publicarse por un tiempo máximo de 5 (cinco) años, a contar desde la última información significativa, o desde el vencimiento del plazo original de la operación de crédito de que se trate, el que fuera mayor.

Se considera información significativa:

El momento en que se produce la mora del deudor.

Las modificaciones en las clasificaciones que otorgan al deudor las entidades crediticias.

El inicio de la acción judicial de cobro.

La sentencia judicial que dispone el pago de la deuda.

La fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente.

Aquella otra información que defina el órgano de control.

CAPÍTULO III. DISPOSICIONES ORGÁNICAS.

ÓRGANOS DE CONTROL.

Artículo 20.- AUTORIDADES DE APLICACIÓN.

Serán autoridades de aplicación, en el ámbito de su competencia:

BANCO CENTRAL DEL PARAGUAY. El Banco Central del Paraguay, a través de la Superintendencia de Bancos; tendrá las siguientes atribuciones y funciones:

Registrar a las Sociedades de Información Crediticia.

Reglamentar, interpretar y ejecutar la presente ley, en cuanto atañe a información crediticia, así como aprobar el protocolo de actuación de los Burós de Crédito.

Supervisar los mecanismos de guarda y utilización de los datos de información crediticia por parte de los Burós de Crédito y entidades reguladas por el Banco Central del Paraguay.

Sancionar a los Burós de Crédito.

La Central de Información de la Superintendencia de Bancos del Banco Central del Paraguay es regida por la legislación y su reglamentación específica.

SECRETARÍA DE DEFENSA DEL CONSUMIDOR Y EL USUARIO. En lo que atañe a la presente Ley:

Velar por el cumplimiento de las disposiciones de la presente Ley, y demás normas que rijan y tengan relación en materia de protección al consumidor y el usuario.

Difundir los derechos y deberes como también realizar acciones de información y educación al consumidor.

Promover la formalización del mercado, evitando la desprotección del titular de los datos.

Formular, realizar y fomentar programas de educación e información al consumidor, a través de medios masivos de comunicación, y de otros mecanismos disponibles.

Recibir y dar curso a las inquietudes, reclamos y denuncias de los consumidores, para canalizarlas a través del Banco Central del Paraguay.

Disponer la realización de inspecciones y pericias vinculadas con la aplicación de esta ley.

Solicitar informes y opiniones a entidades públicas y privadas con relación a las normas de protección del consumidor y el usuario.

Mantener un Registro Nacional de Denuncias, Inspecciones y de Infractores, a los efectos estadísticos y para detectar posibles casos de reincidencia por parte de los proveedores, en coordinación con el Banco Central del Paraguay.

Promover el trabajo conjunto con las Autoridades de Aplicación a nivel local en materia de protección al consumidor.

Recopilar, elaborar, procesar, divulgar y publicar información para facilitar al consumidor un mejor conocimiento de las características de la comercialización de bienes o servicios que se ofrezcan en el mercado.

Realizar y promover investigaciones en el área de consumo.

Solicitar, a través de la justicia, el auxilio de la fuerza pública, la intervención del Ministerio Público o cuantas diligencias fueran necesarias para el cumplimiento de sus funciones.

Las demás atribuciones que compete a la Secretaría de Defensa del Consumidor y el Usuario (SEDECO) por su ley orgánica y que aplicarían al presente ámbito.

En cuanto sea pertinente, ambas autoridades deberán coordinar esfuerzos para el cumplimiento de los postulados de la presente Ley.

CAPÍTULO IV. INFRACCIONES Y SANCIONES.

Artículo 21.- INFRACCIONES.

El Banco Central del Paraguay y la Secretaría de Defensa del Consumidor y el Usuario serán competentes, cada uno dentro de su ámbito de competencia, para sancionar las infracciones administrativas a la presente Ley y sus reglamentaciones.

Serán consideradas infracciones las siguientes:

El ejercicio de actividades establecidas en la presente Ley, sin la autorización previa del Banco Central del Paraguay.

El ejercicio de actividades no contenidas en la autorización para operar o en los estatutos sociales.

Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente Ley.

Omitir información obligatoria o suministrar información incompleta o falsa a la Central de Información de la Superintendencia de Bancos del Banco Central del Paraguay.

Omitir información obligatoria o suministrar información total o parcialmente falsa al Banco Central del Paraguay.

La excusa, negativa o resistencia a la actuación, y a las instrucciones o requerimientos de obligada observancia de la Superintendencia de Bancos, de los supervisores o inspectores, o la falta de provisión de la documentación solicitada por estos en forma expresa y fehaciente.

Incumplir las limitaciones o prohibiciones temporales impuestas a la entidad.

El incumplimiento de las medidas correctivas, obligaciones legales o reglamentarias exigidas por la Superintendencia de Bancos o el Directorio del Banco Central del Paraguay.

Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.

El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.

La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.

ñ. No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.

o. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a la legislación vigente o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.

Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta Ley. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente Ley.

Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta Ley.

Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

La vulneración del deber de confidencialidad establecido en esta Ley.

La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en esta Ley.

Artículo 22.-

Son responsables de las faltas tipificadas en la presente Ley y su reglamentación, tanto la persona física como la persona jurídica que cometió la falta, como todos los miembros de los órganos de administración de la entidad en cuestión y quienes ejerzan o realicen funciones asimilables a dichos cargos, salvo que:

No hayan tenido conocimiento del hecho u omisión que se les impute, ni directa ni indirectamente; así como que no pudieron llegar a tener indicios o información del acto u omisión que suponga el incumplimiento de normas de obligada observancia; o,

Que, habiendo tenido conocimiento de la supuesta falta, se hayan opuesto por escrito a la actuación u omisión.

Artículo 23.- SANCIONES.

La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones:

Apercibimiento.

Multa de hasta 15.000 (quince mil) Jornales Mínimos vigentes al momento de la imposición de la sanción.

En caso de reincidencia de una misma infracción, la multa será el doble de la multa inicial aplicada, la que podrá elevarse hasta 50.000 (cincuenta mil) Jornales Mínimos vigentes al momento de la imposición de la sanción para la persona física o jurídica que registre una facturación anual superior a G. 6.000.000.000 (Guaraníes seis mil millones).

Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse.

Inhabilitación para desempeñar un empleo, cargo o comisión dentro del sistema financiero, crediticio y en sociedades de información de datos personales, por un período de 6 (seis) meses hasta 5 (cinco) años.

Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control.

Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Las sanciones administrativas son independientes de las medidas correctivas o cautelares que dicten las autoridades de aplicación para salvaguardar el interés público protegido por la presente Ley y la sana gestión de las sociedades dedicadas al manejo de informaciones personales y crediticias.

Artículo 24.- PRESCRIPCIÓN.

Las infracciones a la presente Ley prescriben a los 5 (cinco) años de la fecha en que se cometieron. En el caso de consistir la falta en una actividad continuada, la fecha inicial del cómputo del plazo de prescripción será la de la última actuación.

La prescripción se interrumpe, además de las causas previstas en el Código Civil, por el inicio del sumario administrativo.

Artículo 25.- GRADACIÓN DE LAS SANCIONES.

Las sanciones a ser impuestas se determinarán según los siguientes criterios:

Naturaleza de la falta.

Gravedad del peligro o perjuicio causado.

Beneficio o ganancia, obtenidos como consecuencia de la falta.

El reconocimiento oportuno de los hechos que hayan configurado la falta.

Subsanación de la falta por iniciativa propia.

Conducta anterior de la entidad o del infractor, considerando las sanciones que le hubieran sido impuestos durante los últimos 5 (cinco) años. Al efecto, las autoridades competentes establecerán el registro público de sanciones.

Las autoridades competentes podrán establecer descuentos o reducir las multas en función de parámetros generales que se determinen a través de reglamentos dictados al efecto.

Artículo 26.- PROCEDIMIENTO SUMARIAL.

Para todo lo relativo a la investigación, trámite del sumario administrativo, medidas, recursos y atribuciones de las autoridades de aplicación de la presente Ley, en materia de infracciones a las disposiciones previstas en la presente Ley y su reglamentación, serán aplicables las disposiciones legales y reglamentarias que las respectivas instituciones tengan establecidos o dicten al efecto.

Artículo 27.- RECURSOS CONTRA LAS RESOLUCIONES ADMINISTRATIVAS.

Contra las resoluciones y sanciones recaídas se podrá interponer la acción contencioso-administrativa.

La interposición de la acción contencioso-administrativa no tendrá efectos suspensivos, salvo disposición expresa de la autoridad recurrida o del Tribunal competente y bajo caución suficiente de los interesados, o cuando la resolución apelada imponga multas.

Artículo 28.-

El titular de los datos personales tiene derecho a un procedimiento administrativo rápido y sencillo en los casos que representen una violación a los derechos garantizados en la presente Ley y la Constitución Nacional, sin perjuicio a los reclamos judiciales específicos que pudieran surgir.

CAPÍTULO V. DISPOSICIONES TRANSITORIAS Y FINALES.

Artículo 29.- DISPOSICIONES TRANSITORIAS.

Todo ente público y privado, responsable o encargado de los servicios de información crediticia y los de información de datos personales creados con anterioridad a la vigencia de la presente Ley, deberán ajustar sus estatutos sociales, su organización y funcionamiento a lo previsto en esta Ley, en el plazo de 24 (veinte y cuatro) meses, contados a partir de su publicación.

Artículo 30.- DEROGACIONES.

Queda derogada la Ley n° 1682/2001 “QUE REGLAMENTA LA INFORMACIÓN DE CARÁCTER PRIVADO” y sus respectivas Leyes modificatorias.

Artículo 31.-

Comuníquese al Poder Ejecutivo.

Aprobado el Proyecto de Ley por la Honorable Cámara de Senadores, a los veinticuatro días del mes de octubre del año dos mil diecinueve, quedando sancionado el mismo por la Honorable Cámara de Diputados, a los veintiocho días del mes de abril del año dos mil veinte, de conformidad con lo dispuesto en el Artículo 204 de la Constitución Nacional.

Objetado Parcialmente por Decreto del Poder Ejecutivo nº 3652, de fecha 1 de junio de 2020.

Rechazada la Objeción Parcial por la Honorable Cámara de Senadores en fecha 23 de julio de 2020 y por la Honorable Cámara de Diputados en fecha 23 de setiembre de 2020, de conformidad con lo establecido en el Artículo 208 de la Constitución Nacional.

25Abr/21

Fallo 32.956-2018 de la Corte Suprema de Chile, de 22 de abril de 2019. Tercera Sala. s/Protección de Datos Personales

Fallo 32.956-2018 de la Corte Suprema de Chile, de 22 de abril de 2019. Tercera Sala. s/Protección de Datos Personales

TEXTOS COMPLETOS:

SENTENCIA DE LA CORTE DE APELACIONES:

Valparaíso, cinco de diciembre de dos mil dieciocho.

VISTO:

En estos antecedentes, correspondientes al proceso Rol de Ingreso n° 6552-2018 (Protección), comparece el abogado don Gastón B. B., en representación de Retail Chile S. A., quien deduce acción constitucional de protección en contra de la sociedad Servicios Equifax Chile Limitada, representada por don Carlos Ellis Johnson Lathrop, fundada en que la recurrida “[…] no obstante ser informada formalmente con fecha 27 de junio del presente año de su ilegal y arbitrario proceder, mantiene en sus registros a mi representada en calidad de morosa, en el denominado registro Boletín Eletrónico Dicom por concepto de una deuda no declarada de arrendamiento…”, actuación a su juicio es del todo ilegal y arbitraria y mediante la cual se habrían infringido las garantías constitucionales establecidas en los numerales 3°, 4° y 21° del artículo 19 de la Constitución Política de la República, que aseguran a todas las personas la igual protección de la ley en el ejercicio de sus derechos; el respeto y protección a la vida privada y a la honra de la persona y su familia y el derecho a desarrollar cualquiera actividad económica que no sea contraria a la moral, al orden público o a la seguridad nacional, respetando las normas legales que la regulen.

Refiere la recurrente que, en la fecha indicada, el representante legal de Retail Chile S. A. le dirigió a Servicios Equifax Chile Limitada una solicitud en orden a que eliminara la deuda en referencia del denominado “Registro Dicom de Arrendamiento”, producto que permite a un arrendador, sin expresión de causa ni justificación alguna y sin que se acredite una declaración de morosidad emanada de un tribunal de la República de la parte arrendataria, ni se permita el ejercicio del derecho a defensa de ésta, publicar en el Boletín Comercial Dicom deudas de la misma, exigiéndose para ello como único requisito que el respectivo contrato de arrendamiento contenga una estipulación en la que la arrendataria autorice el uso de sus datos personales y su publicación en los registros de dicha empresa.

Adiciona la actora que no hay sentencia judicial alguna que declare la existencia de una obligación morosa de la arrendataria, ni que establezca su cuantía, y que no obstante ello la recurrente figura como morosa en un registro compuesto por varios factores que, junto a otras variables, confluye en un factor de riesgo crediticio determinante para la obtención de créditos; que con ello se vulnera el artículo 17 de la Ley n° 18.101, que regula el arrendamiento de predios urbanos y que fija la competencia de los tribunales ordinarios de justicia para conocer de los asuntos que se susciten entre arrendatarios y arrendadores en virtud de un contrato de arrendamiento y que la publicación en comento y el rechazo a su eliminación le ha significado una dificultad en la obtención de créditos y para obtener financiamiento de diversos proyectos. Adiciona que ” A diferencia de lo que puede ocurrir en el registro “tradicional” del Boletín Comercial, en el cual se informan las morosidades de los instrumentos mercantiles protestados, que en su mayoría tienen mérito ejecutivo por sí mismos, en el caso de una deuda de arrendamiento, ésta nace de un incumplimiento contractual entre las partes, situación que debe ser ponderada y luego declarada judicialmente para estar en una situación de morosidad” y que el registro que lleva la empresa EQUIFAX y que alimenta el Sistema del Boletín Comercial de la Cámara de Comercio de Chile, se aparta de la normativa vigente, contenida en el Decreto Supremo n° 950, de Hacienda, de 1928, que establece que son los Tribunales de Justicia los que informarán a la Cámara de Comercio de Chile el listado de sentencias ejecutoriadas que condenen al pago de las rentas insolutas de arrendamiento de bienes raíces.

Por otra parte, la actora califica la actuación de la recurrida como arbitraria, habida consideración que sí se accedió la eliminación del registro en comento del codeudor solidario, por no haberse acompañado la documentación suficiente respecto del mismo, pero que, sin embargo, no se dio lugar a la eliminación de la recurrente, a pesar que se le acompañaron todos los antecedentes para analizar el caso concreto.

Con respecto a la infracción de la garantía constitucional consagrada bajo el numeral 3° del artículo 19 de la Constitución Política de la República en vigor, esto es, “La igual protección de la ley en el ejercicio de sus derechos”, la recurrente aduce que al determinar ante sí la existencia de una morosidad en un registro público, al cual acceden instituciones financieras, Servicios Equifax Chile Limitada ha invadido facultades privativas de los tribunales de justicia, constituyéndose en una comisión especial.

Con relación a la garantía reconocida bajo el numeral 4° del artículo 19 de la Carta Fundamental, o sea, “El respeto y protección de la vida privada y a la honra de la persona y a su familia”, sostiene que se ha vulnerado groseramente el tratamiento de sus datos personales, siendo publicada en registros de acceso público, como deudora de una importante suma de dinero, sin mediar sentencia judicial que justifique la existencia de dicha deuda ni su cuantía.

Y en cuanto a la afectación de su garantía constitucional consagrada en el numeral 21° del artículo 19 de la Constitución Política de la República, a saber, “El derecho a desarrollar cualquiera actividad económica que no sea contraria a la moral, al orden público o a la seguridad nacional, respetando las normas legales que la regulen”, la impugnante acusa que estas publicaciones le han causado artificialmente un aumento en su predictor de riesgo en los informes de morosidad que envía la recurrida a las instituciones financieras, afectando su patrimonio.

En fin, la impugnante precisa en su libelo recursivo que el acto impugnado consiste en mantener en el registro de morosidad una deuda de arrendamiento no declarada judicialmente, actuación que a su juicio vulnera las disposiciones constitucionales que invoca y pide a este tribunal superior que adopte las medidas necesarias para restablecer el imperio del Derecho y declare la ilegalidad del proceder de la recurrida, ordenando que ésta elimine del registro informático la noticia que afecta negativamente a la recurrente, dentro del término de tres días, bajo apercibimiento de lo dispuesto en el Auto Acordado de la Excma. Corte Suprema para tales desobediencias.

A fojas ciento noventa y cinco de estos antecedentes, comparece el abogado don Carlos Dávila Izquierdo, en representación de la parte recurrida, Equifax Chile Limitada, evacuando el Informe que prescribe el numeral 3° del Auto Acordado sobre Tramitación y Fallo del Recurso de Protección de las Garantías Constitucionales, quien, en primer lugar, alega la extemporaneidad de la acción constitucional materia de autos, argumentando que la recurrente debió haber tomado conocimiento de la publicación en referencia, a lo menos, el 27 de junio de 2018, y como el recurso fue deducido con fecha 04 de agosto de 2018, se excedió el plazo de 30 días previsto en el Auto Acordado de la Excma. Corte Suprema sobre la materia.

 Por otra parte y en cuanto al fondo, alega que no existe prohibición legal para efectuar la publicación impugnada, la que se enmarca dentro de las actividades comerciales que ella desarrolla, amparada en la norma consagrada en el artículo 19 n° 21 de la Constitución Política de la República.

En cuanto a la confección de la base de datos, indica que la misma se forma con los antecedentes aportados por los asociados, siendo ellos los responsables de la exactitud de la información que le proporcionan.

 Manifiesta la recurrida que es obligación del suscriptor no ingresar morosidades respecto de las cuales se hayan concedido esperas, o existan juicios pendientes.

Por otra parte, argumenta que el aportante libera a Equifax de la responsabilidad derivada del ingreso de datos inexactos.

 En cuanto al caso preciso materia de este proceso, sostiene que de la revisión de los respaldos se constató la existencia de una relación contractual, señalando que se trataría de una controversia sobre la existencia o no de la deuda, lo que ha de ser ventilado en un juicio de lato conocimiento, escapando a la finalidad de la acción cautelar de protección.

Desde otra perspectiva, la recurrida alega la improcedencia de aplicar la Ley 19.628 a las personas jurídicas, acompañando jurisprudencia y antecedentes respecto de este tópico y pide, en definitiva, el rechazo del recurso interpuesto.

A fojas 266 comparece doña Claudia Marcela Olivares Silva, en calidad de arrendadora del inmueble cuyo arrendamiento habría generado la deuda que motivó la publicación materia de la acción de autos, quien evacua también informe y alega la extemporaneidad de la acción de protección, argumentando que la tal publicación fue efectuada con fecha 24 de enero de 2018, de manera que al haber sido deducido el recurso con fecha 04 de agosto del mismo año, el mismo fue interpuesto fuera del plazo fatal de treinta días previsto en el señalado Auto Acordado de la Excma. Corte Suprema.

En subsidio y en relación a la falta de mandato para solicitar la inclusión de la arrendataria morosa en el registro de Equifax, indica que existe un error de transcripción en la cláusula decimotercera del contrato suscrito entre la parte recurrente y la informante, conforme a la cual se faculta a la “Arrendataria” para que pueda dar a conocer la morosidad en el pago de las rentas de arrendamiento y consumos del inmueble individualizado. Alega que no obstante la redacción de dicha estipulación, resulta clara la intención de los contratantes en querer que el contrato produzca efecto en todas sus cláusulas con un sentido lógico, citando las normas de interpretación de los contratos contenidas en los artículos 1560 y 1562 del Código Civil.

Informa que Equifax sacó de sus registros a don Cristian Eduardo Carvajal Segovia, codeudor solidario de la recurrente Retail Chile S. A., respecto de todas las obligaciones emanadas del contrato de arrendamiento en comento y de sus renovaciones, lo que fue rechazado mediante correo electrónico de 05 de julio del presente año, el que adjunta a su presentación. En virtud de ello solicita a esta Corte de Apelaciones pronunciarse al respecto, ordenando a Equifax reingresar al nombrado codeudor solidario al boletín electrónico Dicom y, en subsidio, dar indicaciones o recomendaciones a Equifax para el reingreso del mencionado codeudor.

En cuanto al contrato de arrendamiento en referencia, explica que celebró dicha convención con Retail Chile S. A. en calidad de arrendadora y ésta como arrendataria, concurriendo don Cristian Carvajal como codeudor solidario. Dice que a través de su abogado comenzó con negociaciones con la recurrente, pues ésta mantenía una deuda por no pago de las rentas de arrendamiento de los meses de noviembre de 2017, diciembre, una parcialidad de 2017, gastos de consumo y multas por pagos atrasados durante el año 2017, la que totalizaba la suma de $10.232.058.

Añade que las conversaciones con Retail Chile S. A. se mantuvieron desde los últimos dos meses de enero de 2017 hasta inicios de 2018 y acompaña copias de correos electrónicos intercambiados entre las partes con el objeto de conciliar, lo que no se produjo, señalando que por ello se envió la morosidad al registro de Dicom.

Pide, en definitiva, declarar la acción de protección como extemporánea y, en subsidio, rechazarla en razón de los fundamentos expuestos y ordenar al recurrido a reingresar al codeudor solidario, don Cristian Eduardo Carvajal Segovia al boletín electrónico DICOM.

Por resolución de fojas 273, se ordenó traer los autos en relación.

CON LO RELACIONADO Y CONSIDERANDO:

I. En cuanto a la alegación de extemporaneidad del recurso:

PRIMERO:

Que, constituye un hecho no discutido e indubitado en el proceso, la permanencia de la parte recurrente, Retail Chile S. A. en los registros de la recurrida Servicios Equifax Chile Limitada, en calidad de deudora morosa de un débito causado por un contrato de arrendamiento.

 SEGUNDO:

Que el Auto Acordado sobre Tramitación y Fallo del Recurso de Protección de las Garantías Constitucionales, bajo el guarismo 1° establece que el recurso de protección se interpondrá “dentro del plazo fatal de treinta días corridos contados desde la ejecución del acto o la ocurrencia de la omisión o, según el caso, según la naturaleza de éstos, desde que se haya tenido noticia o conocimiento cierto de los mismos, lo que se hará contar en autos.”.

TERCERO:

Que, habida consideración que la actuación de Servicios Equifax Chile Limitada que se reprocha en el recurso es su negativa a eliminar del Boletín Electrónico Dicom a la recurrente, acto que se materializó con la negativa de la misma en orden a practicar dicha eliminación en su carta respuesta de fecha 05 de julio de 2018, dirigida a la recurrente, distinguiendo la situación de ésta con la del codeudor solidario, respecto de quien sí accedió a la eliminación solicitada, la acción constitucional de protección incoada con fecha de 04 de agosto de 2018 debe tenerse como interpuesta dentro del término expresado en el precepto jurídico trascrito, debiendo por consiguiente, rechazarse la extemporaneidad alegada por la recurrida.

 2. En cuanto al fondo de la acción constitucional de protección:

CUARTO:

Que la acción de protección consagrada en el artículo 20 de la Constitución Política de la República constituye jurídicamente una acción de naturaleza cautelar, destinada a amparar el legítimo ejercicio de las garantías y derechos preexistentes que en la misma disposición se indican, mediante la adopción de medidas de resguardo que se deben tomar ante un acto u omisión arbitrario o ilegal que impida, amague o perturbe su ejercicio.

 QUINTO: (eliminado)

Que, en la especie, es menester tener en cuenta que, si bien el artículo 1° de la Ley n° 19.628, rotulada “Protección de Datos de Carácter Personal” impone obligaciones a quienes efectúen el tratamiento de tales datos, entre los que destaca el respeto por el pleno ejercicio de los derechos fundamentales de los titulares de los mismos y de las facultades que dicha ley les reconoce; que el artículo 2° letra f) dela misma norma jurídica dispone que se entenderá por “Datos de carácter personal o datos personales: los relativos a cualquier información concerniente a personas naturales, identificadas o identificables”; que la letra ñ) del mismo artículo entiende por titular a “la persona natural a la que se refieren los datos de carácter personal”; y que la historia fidedigna de este cuerpo normativo y numerosos fallos jurisprudenciales son indicativos de que la protección legal va dirigida a la persona natural, excluyéndose por consiguiente a las personas jurídicas, no es menos verdadero que el resguardo constitucional dispensado por el artículo 20° de nuestra Carta Fundamental a través de la acción de protección respecto de los derechos y garantías constitucionales asegurados en su artículo 19° que indica no solamente alcanza a las hipótesis de actos u omisiones ilegales, sino también a las de actos u omisiones arbitrarios, habiéndose asentado en la jurisprudencia de nuestros tribunales superiores de justicia que “la arbitrariedad implica carencia de razonabilidad en el actuar u omitir; falta de proporción entre los motivos y el fin a alcanzar; ausencia de ajuste entre los medios empleados y el objetivo a obtener, o aun la inexistencia de los hechos que fundamentan un actuar, lo que pugna contra la lógica y la recta razón” (Corte de Apelaciones de Punta Arenas, 22 de Septiembre de 1993, Revista Gaceta Jurídica, n° 166, pág. 90;  Corte de Apelaciones de Santiago, 05 de Marzo de 1992, Revista Gaceta Jurídica, n° 141, pág. 90; Corte de Apelaciones de Santiago, 30 de Abril de 1993, Revista Gaceta Jurídica, n° 154, pág. 64; Corte Suprema, 26 de Septiembre de 1996, Revista Gaceta Jurídica, n° 195, pág. 64.” http://www.diarioconstitucional.cl/articulos/comentario-a-una-sentencia-de-la-excelentisima-corte-suprema-en-materia-de-accion-constitucional-de-proteccion-del-derecho-a-la-integridad-psiquica/).

SEXTO: (eliminado)

Que, asimismo, la doctrina nacional está conteste en que “[…] Frente a esta situación, que amenaza convertir la acción de protección de garantías fundamentales en un recurso de control de legalidad, cabe preguntarse por la función que puede tener el concepto de arbitrariedad como una alternativa a la ilegalidad para controlar la juridicidad de los actos administrativos que aplican correctamente la ley, pero afectan alguna de las garantías constitucionales… Al tratarse la ilegalidad y la arbitrariedad de presupuestos alternativos de la acción de protección, cabe preguntarse por los efectos de las combinaciones en que el acto u omisión es legal pero arbitrario, o bien ilegal pero razonable. Ateniéndonos estrictamente al criterio que asocia la arbitrariedad al ámbito de las potestades discrecionales, y la ilegalidad de las potestades regladas, deberíamos concluir que no es posible que un mismo acto u omisión sea imputable de ambos reproches de antijuridicidad, porque lo reglado y lo discrecional se excluyen. Si así fuera, la distinción que a priori aparece como una garantía de que toda la actividad de la Administración es susceptible de ser recurrida por este remedio procesal, se puede transformar en un obstáculo que deje en la indefensión a los afectados por un acto legal pero injusto (inconstitucional, diríamos). Por otra parte, no podría explicarse que un mismo acto fuera simultáneamente ilegal y razonable Sin embargo, la distinción anotada no es interpretada por nadie tan restrictivamente que excluya la posibilidad de que existan actos legales pero arbitrarios o ilegales pero razonables. Así, Pfeffer admite la posibilidad de que un “acto que es lícito por no contrariar norma legal alguna, puede no obstante ser arbitrario“, al carecer de fundamento o ser desproporcionado en relación al fin. Cea advierte sobre el valor que debe otorgársele al “tópico de la arbitrariedad en contraposición a la legitimidad de la conducta, porque ese es un criterio esencial y sustantivo”, a diferencia de la legitimidad, que es un criterio formal.” Parece sugerir -porque no lo dice- que un acto arbitrario, aunque fuera formalmente legal, satisfaría el presupuesto de arbitrariedad del recurso de protección. Una sentencia de 1988 se hace cargo de esta posibilidad al definir el acto arbitrario como “aquel que no es proporcionado, no es justo o equilibrado, en el que se respeta en forma aparente la ley, pero existe una desviación del fin que justifica el precepto legal” (Silva Irarrázaval, Luis Alejandro. La Funcionalidad del Concepto Arbitrariedad del Recurso de Protección. Revista de Derecho Universidad Católica del Norte, vol. 14, núm. 2, 2007, pp. 169-174).

SÉPTIMO: (eliminado)

Que, aplicados los postulados anteriormente consignados al caso sub lite y teniendo especialmente en cuenta el contendido la carta de 05 de julio de 2018, mediante la cual la parte recurrida comunicó a la recurrente su decisión de no eliminar su supuesta morosidad de sus registros, aduciendo que la única persona facultada para los efectos, conforme a la estipulación decimotercera del contrato de arrendamiento cuyo incumplimiento originó dicha la morosidad era la arrendataria y que respecto del codeudor señor Carvajal Segovia, en cambio, sí se efectuaría dicha eliminación porque los respaldos enviados no cumplían con la normativa, haciendo así una discriminación favorable a éste no obstante la naturaleza y efectos del instituto de la solidaridad pasiva, y considerando además la circunstancia que la publicación efectuada en los registros de la recurrida respecto de una presunta deuda originada de un contrato cuyo cumplimiento no ha sido reclamado través del ejercicio de ninguna de las acciones o mecanismos procesales que el Ordenamiento Jurídico dispensa al acreedor, quien ha preterido la vía judicial y utilizado directamente un medio indirecto para compeler al deudor a su pago, cual es la publicación en el Boletín Electrónico de Dicom que se denuncia, se puede concluir que la actuación de la recurrida que se recrimina por la recurrente trasunta un comportamiento antijurídico y arbitrario -presupuesto básico e indispensable para la admisibilidad y acogimiento del recurso- en cuanto afecta de modo directo la imagen y prestigio de ésta, vulnerando las garantías constitucionales invocadas por la misma, motivo por el cual la acción constitucional ha de ser acogida.

OCTAVO: (eliminado)

Que, por lo demás, no procede atribuir a la cláusula signada con el guarismo decimotercero del contrato de arrendamiento invocado por la recurrida el efecto de la autorización que prevé el artículo 4° de la Ley n° 19.628, máxime cuando su redacción es defectuosa, lo que ha devenido en controversia entre las partes, y su correcto sentido y alcance no se ha determinado a través de la vía procesal pertinente.

NOVENO: (eliminado)

Que, en lo tocante a la solicitud efectuada por la persona que enarbola la calidad de arrendadora en el mismo contrato, dirigida a que se disponga la inclusión en el registro de morosidad de Dicom de quien figura como su codeudor solidario en dicha convención, esto es, a don Cristian Eduardo Carvajal Segovia, cabe hacer extensivos los razonamientos consignados en los motivos precedentes y, además, señalar que tal petición escapa a la naturaleza cautelar y al objeto de la acción de protección, amén que la peticionaria no tiene la calidad de parte en esta litis, por lo que será rechazada.

 Por los motivos y normas jurídicas precedentemente reseñados y conforme, además, con lo previsto en Auto Acordado de la Excma. Corte Suprema, sobre Tramitación y Fallo del Recurso de Protección de las Garantías Constitucionales, se acoge el recurso de protección deducido por el abogado don Gastón Boré Bacigaluppi, en representación de Retail Chile S. A., en contra de Servicios Equifax Chile Limitada, sin costas, debiendo la recurrida eliminar de sus registros las presuntas deudas informadas por doña Claudia Marcela O. S. respecto de la recurrente, inmediatamente que el presente fallo quede ejecutoriado.

Regístrese, notifíquese y archívese en su oportunidad.

Redactor: Abogado Integrante doña Sonia M. C.

Se deja constancia que no firma la Abogado Integrante Sra. M. no obstante haber concurrido a la vista y al acuerdo de la causa, por encontrarse ausente.

Rol N° 6552-2018.-

Pronunciado por la Segunda Sala de la C. A. de Valparaíso integrada por los Ministros (as) Max Antonio Cancino C., María Del Rosario Lavín V.

SENTENCIA DE LA CORTE SUPREMA:

Santiago, veintidós de abril de dos mil diecinueve

Vistos:

Se reproduce la sentencia en alzada, con excepción de sus fundamentos quinto a noveno, que se eliminan.

Y teniendo en su lugar y, además, presente:

Primero:

Que para analizar el asunto planteado por la presente vía resulta conveniente consignar que el recurso de protección de garantías constitucionales establecido en el artículo 20 de la Constitución Política de la República constituye jurídicamente una acción de naturaleza cautelar destinada a amparar el legítimo ejercicio de las garantías y derechos preexistentes que en esa misma disposición se enumeran, mediante la adopción de medidas de resguardo ante un acto u omisión arbitrario o ilegal que perturbe, amague o prive de ese ejercicio.

Segundo:

Que, Retail Chile S. A. ha recurrido de protección ante la negativa de Servicios Equifax Chile Limitada de retirarla de su registro de deudores morosos, en el cual fue incluida una deuda por concepto de rentas de arrendamiento correspondientes al contrato que la recurrente celebró con doña Claudia Marcela Olivares Silva, quien pidió su incorporación, en circunstancias que no ha sido notificada de alguna demanda de cobro de las rentas supuestamente adeudadas, cuya efectividad y monto la actora ha discutido. Asimismo, sostiene que la recurrida ha incurrido en una discriminación arbitraria al mantenerla en el aludido registro de morosos en circunstancias que eliminó a su codeudor solidario en virtud de las mismas razones que esgrime en su recurso.

Tercero:

Que la recurrida informó manifestando que la incorporación al registro de deudores morosos se realiza a solicitud de los asociados, que asumen la responsabilidad por la efectividad de la deuda, puesto que conforme a la ley, es obligación del suscriptor no ingresar morosidades respecto de las cuales se hayan concedido esperas, o existan juicios pendientes y que la eliminación del codeudor solidario se realizó porque sus circunstancias no eran las mismas. Agrega que la solicitante acreditó la existencia de una relación contractual y que la controversia sobre la existencia de la deuda debe ser ventilada en un juicio de lato conocimiento, escapando a la finalidad de la acción cautelar de protección. Asimismo, alega la improcedencia de aplicar la Ley 19.628 sobre Protección de Datos Personales a las personas jurídicas.

Cuarto:

Que también evacuó informe la arrendadora, quien manifestó que si bien existe un error de transcripción en la cláusula decimotercera del contrato suscrito con la recurrente, conforme a la cual se faculta a la “Arrendataria” para que pueda dar a conocer la morosidad en el pago de las rentas de arrendamiento y consumos del inmueble individualizado, dicha estipulación debe ser interpretada con un sentido lógico de manera que todas sus cláusulas produzcan efecto, conforme a las reglas de interpretación de los contratos contenidas en los artículos 1560 y 1562 del Código Civil y, en esa perspectiva, dicha cláusula expresa la clara intención de los contratantes de autorizar esta clase de publicaciones.

Quinto:

Que el hecho de si las rentas se pagaron íntegra y oportunamente no es un asunto que corresponda ser discutido por esta vía, sino que deberá ser alegado y debatido en el procedimiento correspondiente, careciendo por tanto dicho argumento de relevancia para determinar el carácter arbitrario o ilegal de la actuación que se reprocha a la recurrida.

 Sexto:

Que es un hecho no discutido que la empresa Equifax Chile S. A. celebró un contrato de prestación de servicios con la arrendadora del inmueble ocupado por la actora, en virtud del cual la primera le informa las morosidades registradas por sus clientes y la recurrida transmite los datos comerciales aportados.

Séptimo:

Que, el artículo 4 de la Ley n° 19.628 sobre Protección de Datos Personales dispone lo siguiente: “El tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello”. En esta última hipótesis, la norma exige que la persona que autoriza sea debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público y, asimismo, dispone que dicha autorización, deberá constar por escrito.

Octavo:

Que tampoco se ha discutido la existencia del contrato de arrendamiento, el que fue acompañado al informe solicitado a la arrendadora, en el cual puede leerse la cláusula contractual que habilita a la publicación de las morosidades y que expresa: “13.- DATOS PERSONALES: Con el objeto de dar cumplimiento a la Ley 19.628 y sus modificaciones, sobre protección de datos de carácter personal, el Arrendatario y su Fiador y Codeudor Solidario facultan irrevocablemente a la Arrendataria para que puedan dar a conocer la morosidad en el pago de las rentas de arrendamiento y consumos del inmueble individualizado, proporcionando dicha información a cualquier registro o banco de datos personales con objeto que sea divulgado, relevando el Arrendatario y su Fiador o Codeudor Solidario a la Arrendataria de cualquier responsabilidad que pudiera derivar al efecto.”.

Noveno:

Que, así las cosas, Equifax Chile S. A. se encontraba habilitada para publicar la deuda impaga del recurrente, quien autorizó expresamente su divulgación a través de ésta u otras bases de datos y no acreditó la solución de la misma para requerir su retiro del registro de deudores morosos.

Décimo:

Que, por último, la circunstancia de haberse eliminado al codeudor solidario del registro de morosidades no altera la efectividad del hecho que habilita a efectuar dicha publicación, cual es la existencia de la deuda impaga, por lo que no se advierte que la recurrida haya incurrido en una discriminación arbitraria al negarse a eliminar de su registro al actor de su base de datos.

Undécimo:

Que, por consiguiente, la aludida negativa de Equifax a retirar a la actora del registro de deudores morosos no es ilegal ni arbitraria, al no infringir disposición legal alguna en materia de información comercial.

Por estas consideraciones y de conformidad, además, con lo dispuesto en el artículo 20 de la Constitución Política de la República y en el Auto Acordado de esta Corte sobre la materia, se revoca la sentencia apelada de cinco de diciembre de dos mil dieciocho, dictada por la Corte de Apelaciones de Valparaíso y se declara, en cambio, que se rechaza el recurso de protección interpuesto Retail Chile S. A. en contra de Servicios Equifax Chile Limitada.

Regístrese y devuélvase.

Redacción a cargo del Abogado Integrante señor M.

Rol n° 32.956-2018.-

Pronunciado por la Tercera Sala de esta Corte Suprema integrada por los Ministros Sr. Sergio Muñoz G., Sra. María Eugenia Sandoval G. y Sra. Ángela Vivanco M. y los Abogados Integrantes Sr. Jean Pierre M. A. y Sr. Ricardo A. D.

24Abr/21

Informe del Comité Jurídico Interamericano (CJI) OEA/Ser. Q. CJI/doc. 638/21 de 8 de abril de 2021

Informe del Comité Jurídico Interamericano (CJI) OEA/Ser. Q. CJI/doc. 638/21 de 8 de abril de 2021. Principios actualizados del Comité Jurídico Interamericano sobre la privacidad y la protección de Datos Personales, con anotaciones. 98º Periodo  Ordinario de Sesiones, 5-9 de abril. Sesión Virtual.

98º PERÍODO ORDINARIO DE SESIONES OEA/Ser. Q

5 – 9 abril de 2021 CJI/doc. 638/21

Sesión virtual 8 abril 2021

INFORME DEL COMITÉ JURÍDICO INTERAMERICANO (CJI)

PRINCIPIOS ACTUALIZADOS DEL COMITÉ JURÍDICO INTERAMERICANO SOBRE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS PERSONALES, CON ANOTACIONES

I. LOS PRINCIPIOS

PRINCIPIO UNO. Finalidades Legítimas y Lealtad

Los datos personales deberían ser recopilados solamente para finalidades legítimas y por medios leales y legítimos.

PRINCIPIO DOS. Transparencia y Consentimiento

Antes o en el momento en que se recopilen, se deberían especificar la identidad y datos de contacto del responsable de los datos, las finalidades específicas para las cuales se tratarán los datos personales, el fundamento jurídico que legitima su tratamiento, los destinatarios o categorías de destinatarios a los cuales los datos personales les serán comunicados, así como la información a ser transmitida y los derechos del titular en relación con los datos personales a ser recopilados. Cuando el tratamiento se base en el consentimiento, los datos personales solamente deberían ser recopilados con el consentimiento previo, inequívoco, libre e informado de la persona a que se refieran.

PRINCIPIO TRES. Pertinencia y Necesidad

Los datos personales deberían ser únicamente los que resulten adecuados, pertinentes, y limitados al mínimo necesario para las finalidades específicas de su recopilación y tratamiento ulterior.

PRINCIPIO CUATRO. Tratamiento y Conservación Limitados

Los datos personales deberían ser tratados y conservados solamente de manera legítima no incompatible con las finalidades para las cuales se recopilaron. Su conservación no debería exceder del tiempo necesario para cumplir dichas finalidades y de conformidad con la legislación nacional correspondiente.

PRINCIPIO CINCO. Confidencialidad

Los datos personales no deberían divulgarse, ponerse a disposición de terceros, ni emplearse para otras finalidades que no sean aquellas para las cuales se recopilaron, excepto con el consentimiento de la persona en cuestión o bajo autoridad de la ley.

PRINCIPIO SEIS. Seguridad de los Datos

La confidencialidad, integridad y disponibilidad de los datos personales deberían ser protegidas mediante salvaguardias de seguridad técnicas, administrativas u organizacionales razonables y adecuadas contra tratamientos no autorizados o ilegítimos, incluyendo el acceso, pérdida, destrucción, daños o divulgación, aún cuando éstos ocurran de manera accidental. Dichas salvaguardias deberían ser objeto de auditoría y actualización permanente.

PRINCIPIO SIETE. Exactitud de los Datos

Los datos personales deberían mantenerse exactos, completos y actualizados hasta donde sea necesario para las finalidades de su tratamiento, de tal manera que no se altere su veracidad.

PRINCIPIO OCHO. Acceso, Rectificación, Cancelación, Oposición y Portabilidad

Se debería disponer de métodos razonables, ágiles, sencillos y eficaces para permitir que aquellas personas cuyos datos personales han sido recopilados puedan solicitar el acceso, rectificación y cancelación de sus datos, así como el derecho a oponerse a su tratamiento y, en lo aplicable, el derecho a la portabilidad de esos datos personales. Como regla general, el ejercicio de esos derechos debería ser gratuito. En caso de que fuera necesario restringir los alcances de estos derechos, las bases específicas de cualquier restricción deberían especificarse en la legislación nacional y estar en conformidad con los estándares internacionales aplicables.

PRINCIPIO NUEVE. Datos Personales Sensibles

Algunos tipos de datos personales, teniendo en cuenta su sensibilidad en contextos particulares, son especialmente susceptibles de causar daños considerables a las personas si se hace mal uso de ellos. Las categorías de estos datos y el alcance de su protección deberían indicarse claramente en la legislación y normativas nacionales. Los responsables de los datos deberían adoptar medidas de privacidad y de seguridad reforzadas que sean acordes con la sensibilidad de los datos y su capacidad de hacer daño a los titulares de los datos.

PRINCIPIO DIEZ. Responsabilidad

Los responsables y encargados del tratamiento de datos deberían adoptar e implementar medidas técnicas y organizacionales que sean apropiadas y efectivas para asegurar y poder demostrar que el tratamiento se realiza en conformidad con estos Principios. Dichas medidas deberían ser auditadas y actualizadas periódicamente. El responsable o encargado del tratamiento y, en lo aplicable, sus representantes, deberían cooperar, a petición, con las autoridades de protección de datos personales en el ejercicio de sus tareas.

PRINCIPIO ONCE. Flujo Transfronterizo de Datos y Responsabilidad

Reconociendo su valor para el desarrollo económico y social, los Estados Miembros deberían cooperar entre sí para facilitar el flujo transfronterizo de datos personales a otros Estados cuando éstos confieran un nivel adecuado de protección de los datos de conformidad con estos Principios.

Asimismo, los Estados Miembros deberían cooperar en la creación de mecanismos y procedimientos que aseguren que los responsables y encargados del tratamiento de datos que operen en más de una jurisdicción, o los transmitan a una jurisdicción distinta de la suya, puedan garantizar y ser efectivamente hechos responsables por el cumplimiento de estos Principios.

PRINCIPIO DOCE. Excepciones

Cualquier excepción a alguno de estos Principios debería estar prevista de manera expresa y específica en la legislación nacional, ser puesta en conocimiento del público y limitarse únicamente a motivos relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público, o el interés público.

PRINCIPIO TRECE. Autoridades De Protección De Datos

Los Estados Miembros deberían establecer órganos de supervisión independientes, dotados de recursos suficientes, de conformidad con la estructura constitucional, organizacional y administrativa de cada Estado, para monitorear y promover la protección de datos personales de conformidad con estos Principios. Los Estados Miembros deberían promover la cooperación entre tales órganos.

II. LAS ANOTACIONES

Introducción

La finalidad de actualizar los Principios sobre la Privacidad y la Protección de Datos Personales (con anotaciones)” adoptados por el Comité Jurídico Interamericano (CJI) en 2015 es contribuir al desarrollo de un marco vigente para salvaguardar los derechos de la persona a la protección de sus Datos Personales y a la autodeterminación en lo que respecta a la información en los países de las Américas. Esta actualización de los Principios se basa en normas y estándares reconocidos a nivel internacional, según han evolucionado hasta el año 2020. Su intención es proteger a las personas de la recopilación, el uso, la retención y la divulgación ilícitos o innecesarios de Datos Personales.

La siguiente explicación detallada de los Principios tiene por objeto proporcionar una guía para orientar la reflexión al interior de cada Estado Miembro de la OEA sobre el estado que guarda su normativa en la materia, así como, en su caso, los esfuerzos de fortalecimiento de la misma.

Cada Estado Miembro debería determinar cuál es la mejor manera de tomar en cuenta estos Principios en su ordenamiento jurídico interno. Sea por medio de leyes, normas u otros mecanismos, los Estados Miembros deberían establecer reglas efectivas para la protección de Datos Personales que den efecto al derecho de la persona a la privacidad y que respeten sus Datos Personales, protegiendo al mismo tiempo que la persona pueda beneficiarse del libre flujo de información y del acceso a la economía digital.

La finalidad de estos Principios es proporcionar los elementos básicos de una protección efectiva. Los Estados podrían ofrecer mecanismos adicionales para garantizar la privacidad y la protección de los Datos Personales, teniendo en cuenta las funciones y las finalidades legítimas para su Tratamiento en beneficio de las personas. En general, los Principios reflejan la importancia de la efectividad, la razonabilidad, la proporcionalidad y la flexibilidad como elementos rectores.

Ámbito de aplicación

Estos Principios se aplican tanto a los sectores público como privado, es decir, tanto a los Datos Personales generados, recopilados o administrados por entidades públicas como a los Datos recopilados y tratados por entidades privadas (1). Se aplican a los Datos Personales que se encuentren en cualquier soporte físico o digital.

Los Principios no se aplican a los Datos Personales utilizados por una persona exclusivamente en el contexto de su vida privada, familiar o doméstica. Tampoco se aplican a la información anónima, es decir, aquella que no guarde relación con una persona física identificada o identificable, así como a los Datos Personales que han sido seudonimizados o sujetos a un proceso de Anonimización de tal forma que el Titular no pueda ser identificado o reidentificado (cf. definición de “Anonimización”, infra).

Los Principios están relacionados entre sí y deberían interpretarse en conjunto, con una perspectiva transversal de género y de derechos humanos que identifique los impactos diferenciados del Tratamiento de Datos y los haga visibles para que tanto los Responsables como los Encargados de los Datos Personales puedan tomar las medidas necesarias para mitigar estas disparidades e impedir que el Tratamiento menoscabe la dignidad y la privacidad de las personas que enfrentan situaciones de especial vulnerabilidad.

El concepto de privacidad

El concepto de privacidad está consagrado en el derecho internacional. Se basa en los conceptos fundamentales del honor personal y la dignidad, así como en la libertad de expresión, pensamiento, opinión y asociación, reconocidos por los principales sistemas de derechos humanos del mundo.

En las Américas, estos conceptos están claramente establecidos en el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en los artículos 11 y 13 de la Convención Americana sobre Derechos Humanos (“Pacto de San José”) (1969) (apéndice A) y en la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer (“Convención de Belém do Pará”) (1994). Asimismo, la Corte Interamericana de Derechos Humanos ha confirmado el derecho a la privacidad (2).

Además, la constitución y las leyes fundamentales de muchos Estados Miembros de la OEA garantizan el respeto y la protección de Datos Personales como un derecho distinto y complementario a los derechos a la privacidad, la dignidad personal y el honor familiar, la inviolabilidad del hogar y las comunicaciones privadas y conceptos conexos. Casi todos los Estados Miembros de la OEA han adoptado algún tipo de legislación con respecto a la protección de la privacidad y los Datos Personales (aunque sus disposiciones varían en lo que se refiere a su enfoque, ámbito de aplicación y contenido).

En consonancia con estos derechos fundamentales, los Principios de la OEA reflejan los conceptos de autodeterminación en lo que respecta a la información, la ausencia de restricciones arbitrarias del acceso a los datos, y la protección de la privacidad, la identidad, la dignidad y la reputación.

Al mismo tiempo, tal como se reconoce en todos los ordenamientos jurídicos, el derecho a la privacidad no es absoluto y puede tener limitaciones razonables relacionadas con la tutela de otros derechos fundamentales, tales como la libertad de expresión y el acceso a la información pública o con el interés público.

El concepto del libre flujo de información

Los principios fundamentales de la libertad de expresión y de asociación y el libre flujo de información se reconocen en los principales sistemas de derechos humanos del mundo, entre ellos el sistema de la OEA; por ejemplo, en el artículo IV de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en el artículo 13 de la Convención Americana (Anexo A). Estos derechos civiles y políticos esenciales se reflejan en las Américas en la constitución y las leyes fundamentales de todos los Estados Miembros de la OEA (aunque cabe reiterar que sus disposiciones varían en cuanto a su enfoque, ámbito de aplicación y contenido). Son cruciales para la promoción de la democracia y las instituciones democráticas.

En la región de las Américas, el acceso a la información pública y de manera especial el acceso a la digitalidad se ha caracterizado por la desigualdad y una brecha digital ampliamente documentada, entre otros en virtud de género. En una “sociedad de la información” centrada en la persona y orientada al desarrollo, la protección del derecho de las personas a tener acceso a información y conocimientos, a usarlos y a difundirlos puede ayudar a las personas, a las comunidades y a los pueblos a alcanzar su pleno potencial, promover el desarrollo sostenible y mejorar la calidad de vida en general, de acuerdo con los propósitos y principios de la Carta de la OEA y con nuestros instrumentos regionales de derechos humanos.

Definiciones

Anonimización.

Tal como se usa en estos Principios, la palabra “Anonimización” se refiere a la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o reidentificación de una persona física sin esfuerzos desproporcionados.

Autoridad Responsable de la Protección de Datos.

Como se utiliza en estos Principios, el término “Autoridad Responsable de la Protección de Datos” se refiere a las autoridades supervisoras establecidas en los Estados Miembros, que tienen la facultad de redactar e implementar las leyes, reglamentos y requisitos relacionados con la protección de Datos Personales, sea a nivel nacional, regional o municipal y de conformidad con la estructura constitucional, organizacional y administrativa de cada Estado.

Datos Personales.

Tal como se usa en estos Principios, el término “Datos Personales” abarca la información que identifica o puede usarse de manera razonable para identificar a una persona física de forma directa o indirecta, especialmente por referencia a un número de identificación, datos de localización, un identificador en línea o a uno o más factores referidos específicamente a su identidad física, fisiológica, genética, mental, económica, cultural o social. Incluye información expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica, electrónica, visual o de cualquier otro tipo. La frase no abarca la información que no identifica a una persona en particular (o no puede usarse de manera razonable para identificarla).

En los Principios, la palabra “Datos” se usa intencionalmente en un sentido amplio a fin de conferir la protección más amplia posible a los derechos de las personas afectadas, independientemente de la forma particular en que se recopilen, se almacenen, se recuperen, se usen o se difundan los datos.

En general, en los Principios se evita el uso de la frase “información personal”, la cual, por sí sola, podría interpretarse en el sentido de que no incluye “datos” específicos tales como elementos fácticos, “bits” almacenados electrónicamente o registros digitales. Análogamente, la palabra “datos” podría interpretarse en el sentido de que no incluye compilaciones de hechos que, tomados en conjunto, permitan sacar conclusiones sobre la persona o las personas en particular. Por ejemplo, los detalles relativos a la estatura, el peso, el color del cabello y la fecha de nacimiento de dos personas podrían constituir “datos” que, al compararlos, revelen la “información” de que son hermano y hermana o tal vez gemelos idénticos. A fin de promover la mayor protección posible de la privacidad, estos Principios se aplicarían en ambos casos y no permitirían que un Responsable de Datos efectuara distinciones de ese tipo.

Ejemplos de Datos Personales incluyen identificadores como el nombre real, alias, dirección postal, identificador personal único, identificador en línea, dirección de protocolo de internet, dirección de correo electrónico, nombre de cuenta, número de seguridad social, número de licencia de conducir, número de pasaporte u otros identificadores similares, o información comercial, información biométrica, información de internet u otra actividad de redes electrónicas (como historial de navegación, historial de búsqueda e información sobre la interacción de un Titular con un sitio web, aplicación o anuncio, datos de geolocalización, información de audio, electrónica, visual, termal, olfatoria u otra similar, información profesional o relacionada al trabajo, información educativa e inferencias derivadas de lo anterior para crear un perfil de las preferencias, características, tendencias  psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del Titular de datos, entre otras.

A efectos de estos Principios, solo la gente (personas físicas en lo individual o agrupadas en una persona jurídica) tiene intereses en materia de privacidad, a diferencia de los dispositivos, las computadoras o los sistemas mediante los cuales interaccionan. Tampoco tienen intereses en materia de privacidad las organizaciones u otras personas jurídicas con las que tratan. Los menores (personas que no han llegado a la edad adulta) también tienen derechos e intereses legítimos en materia de privacidad que deberían reconocerse y protegerse efectivamente en la legislación nacional.

Datos Personales Sensibles.

El término “Datos Personales Sensibles” se refiere a una categoría más estrecha que abarca los datos que afectan a los aspectos más íntimos de las personas físicas. Según el contexto cultural, social o político, esta categoría podría abarcar, por ejemplo, datos relacionados con la salud personal, las preferencias sexuales o vida sexual, las creencias religiosas, filosóficas o morales, la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física, las opiniones políticas o el origen racial o étnico, información sobre cuentas bancarias, documentos oficiales, información recopilada de niños y niñas o geolocalización personal. En ciertas circunstancias podría considerarse que estos datos merecen protección especial porque, si se manejan o divulgan de manera indebida, podrían conducir a graves perjuicios para la persona o a discriminación ilegítima o arbitraria.

En los Principios se reconoce que la sensibilidad de los Datos Personales puede variar según la cultura y cambiar con el tiempo y que los riesgos de ocasionar daños reales a una persona como consecuencia de la divulgación de Datos podrían ser insignificantes en una situación en particular, pero podrían poner en peligro la vida en otra.

Encargado de los Datos.

Tal como se usa en estos Principios, el término “encargado de los datos” se refiere a la persona física o jurídica, entidad privada o autoridad pública, ajena a la organización del Responsable de los Datos, que presta sus servicios para llevar a cabo el Tratamiento de Datos Personales.

Responsable de los Datos.

Tal como se usan en estos Principios, el término “Responsable de los Datos” se refiere a la persona física o jurídica, entidad privada, autoridad pública u otro organismo u organización o servicio que (solo o junto con otros) se encarga del Tratamiento y la protección de los Datos Personales en cuestión. Tales personas determinan el contenido, las finalidades y el uso de los Datos Personales.

Titular de los Datos.

Tal como se utiliza en estos Principio, este término se refiere a la persona cuyos Datos Personales se recopilan, procesan, almacenan, utilizan o difunden.

Tratamiento de Datos.

En estos Principios, el término “Tratamiento de Datos” se usa en un sentido amplio y abarca toda operación o conjunto de operaciones realizado con Datos Personales, incluyendo, de manera enunciativa más no limitativa, la recopilación, acceso, organización, adaptación, indexación, aprovechamiento, registro, almacenamiento, alteración, recuperación, divulgación o transferencia.

Principios Actualizados Anotados

PRINCIPIO UNO: FINALIDADES LEGÍTIMAS Y LEALTAD

Los datos personales deberían ser recopilados solamente para finalidades legítimas y por medios leales y legítimos

Este Principio abarca dos elementos:

1) las “finalidades legítimas” para las cuales se recopilan inicialmente los datos personales y

2) los “medios leales y legítimos” con los cuales se efectúa la recopilación inicial.

La premisa es que muchas o incluso la mayoría de las intrusiones en los derechos de las personas pueden evitarse si se respetan los conceptos conexos de legitimidad y lealtad desde el comienzo, cuando se recopilan inicialmente los Datos. Desde luego, estos Principios se aplican y deberían respetarse en todas las etapas del Tratamiento (a saber, el proceso de recopilación, compilación, almacenamiento, utilización, divulgación y eliminación de Datos Personales), no solo en el momento de su recopilación. Sin embargo, es más probable que se cumplan y se respeten si se recalcan y se respetan desde el comienzo.

Finalidades Legítimas

El requisito de legitimidad en las finalidades para las cuales se tratan los Datos Personales es una norma fundamental, profundamente arraigada en valores democráticos básicos y en el estado de derecho. En principio, la recopilación de Datos Personales debería ser limitada y realizarse con el conocimiento o el consentimiento de la persona. No deberían recopilarse Datos sobre personas excepto en las situaciones y con los métodos permitidos o autorizados por ley y (por lo general) deberían darse a conocer a las personas afectadas en el momento en que se recopilen.

Los Estados Miembros deberían, por lo tanto, incluir en sus legislaciones nacionales disposiciones específicas sobre las finalidades legítimas del Tratamiento de Datos Personales. Como regla general, éstos podrían incluir casos en los que:

(a) el Titular de los Datos otorgue su consentimiento expreso para el Tratamiento de sus Datos Personales para una o varias finalidades específicas;

(b) el Tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales;

(c) el Tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al Responsable de datos;

(d) el Tratamiento sea necesario para proteger intereses vitales del Titular o de otra persona;

(e) el Tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos conferidos al Responsable de Datos;

(f) el Tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el Responsable de Datos;

(g) el Tratamiento sea necesario para el cumplimiento de una orden judicial, resolución o mandato fundado y motivado de autoridad pública competente; y

(h) el Tratamiento sea necesario para el reconocimiento o defensa de los derechos del Titular ante una autoridad pública.

El requisito de legitimidad abarca el concepto de legalidad y excluye el Tratamiento arbitrario y caprichoso de Datos Personales. Implica transparencia y una estructura jurídica a la cual pueda tener acceso la persona cuyos Datos estén recopilándose.

En la mayoría de los contextos se puede cumplir el requisito de legitimidad si el recopilador o Encargado de los Datos informa al Titular sobre las bases jurídicas de la solicitud de los Datos en el momento de su recopilación (por ejemplo, “se solicita su número de identificación personal de conformidad con la Ley de Registro Nacional de 2004” o “la Directiva 33-25 del Ministerio de Economía”).

En otros casos podría necesitarse una explicación diferente, como “se requiere esta información para garantizar que el reembolso se envíe a la dirección correcta del reclamante”. En tales casos, se deberían indicar claramente las finalidades para las cuales se recopilan los datos, a fin de que la persona pueda entender cómo se recopilarán, usarán o divulgarán los datos.

Medios leales y legítimos

El Principio Uno también requiere que los medios que se empleen para recopilar Datos Personales sean “leales y legítimos”. Los Datos Personales se recopilan por medios leales y legítimos cuando la recopilación es compatible tanto con los requisitos legales aplicables como con las expectativas razonables de las personas basadas en su relación con el Responsable de Datos o con otra entidad que recopile los Datos y en el aviso o los avisos dados a las personas en el momento en que se recopilen sus Datos.

Este Principio excluye la obtención de Datos Personales por medio de fraude, engaño o con pretextos falsos. Se infringiría, por ejemplo, si una organización se hiciera pasar por otra en llamadas de tele marketing, avisos publicitarios impresos o mensajes por correo electrónico a fin de engañar a los Titulares e inducirles a dar el número de su tarjeta de crédito, información sobre cuentas bancarias u otros tipos de información personal sensible.

La “lealtad” es contextual y depende de las circunstancias. Requiere, entre otras cosas, que se ofrezcan opciones apropiadas a las personas con respecto a la forma y el momento en que vayan a proporcionar sus Datos Personales a los Responsables de los Datos en los casos en que no sea razonable prever que puedan recopilarse en vista de la relación de las personas con el recopilador o Encargado de Datos, y del aviso o los avisos que hayan recibido en el momento en que se recopilaron sus Datos. Las opciones que se ofrezcan a las personas no deberían interferir en las actividades y en la obligación de los Responsables de Datos de promover la seguridad externa e interna y el cumplimiento de la normativa ni impedir que empleen prácticas comúnmente aceptadas para la recopilación y utilización de Datos Personales.

Al aplicar estos Principios, los Estados Miembros podrían establecer un requisito de “lealtad” separado del tema del engaño, con el fin de evitar Tratamientos de Datos Personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

PRINCIPIO DOS: TRANSPARENCIA Y CONSENTIMIENTO

Antes o en el momento en que se recopilen, se deberían especificar la identidad y datos de contacto del responsable de los datos, las finalidades específicas para los cuales se tratarán los datos personales, el fundamento jurídico que legitima su tratamiento, los destinatarios o categorías de destinatarios a los cuales los datos personales les serán comunicados, así como la información a ser transmitida y los derechos del titular en relación con los datos personales a ser recopilados. Cuando el procesamiento se base en el consentimiento, los datos personales solamente deberían ser recopilados con el consentimiento previo, libre, inequívoco e informado de la persona a que se refieran.

Este Principio también se centra en la recopilación de Datos Personales como primera etapa de su Tratamiento. Se basa en el concepto de la “autodeterminación en lo que respecta a la información” y, en particular, en dos conceptos que gozan de amplio reconocimiento a nivel internacional: el principio de “transparencia” y el principio de “consentimiento”. Combinados, estos principios requieren que

(i) se especifiquen las categorías de Datos Personales a ser tratados, las finalidades para las cuales se traten los Datos Personales, así como los destinatarios o categorías de destinatarios a quienes se divulgarán los Datos Personales y los derechos del Titular de los Datos Personales en relación con los Datos a ser tratados, generalmente a más tardar en el momento en el cual se inicie la recopilación; y

(ii) cuando el Tratamiento se base en el consentimiento, se recopilen Datos Personales solo con el consentimiento claro de la persona a la que se refieran.

Transparencia

Antes o al momento de recopilarse los Datos Personales, deberían especificarse claramente:

i) la identidad y datos de contacto del Responsable;

ii) las finalidades del Tratamiento;

iii) el fundamento jurídico de su Tratamiento;

iv) los destinatarios o categorías de destinatarios a los cuales los Datos Personales serán comunicados;

v) la información a serles transmitida,

vi) la existencia, forma y mecanismos o procedimientos a través de los cuales los Titulares de Datos Personales podrán ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad.

Además, se debería informar a las personas sobre las prácticas y políticas de las entidades o personas que recopilen los Datos Personales, a fin de que puedan tomar una decisión fundamentada con respecto al suministro de tales datos. Sin claridad, el consentimiento de la persona con respecto al tratamiento de sus datos no puede ser válido.

La información debería ser proporcionada al Titular en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.

Consentimiento

Por lo general, la persona debería ser capaz de dar su consentimiento libremente respecto de la recopilación de Datos Personales de la forma y con las finalidades previstas. Por lo tanto, el consentimiento de la persona debería basarse en suficiente información y debería ser claro, es decir, no debería dar lugar a ninguna duda o ambigüedad con respecto a la intención de la persona. Para que el consentimiento sea válido, la persona debería contar con suficiente información sobre los detalles concretos de los Datos que se recopilarán, la forma en que se recopilarán, los fines del Tratamiento y toda divulgación que pueda efectuarse. La persona debería ser capaz de efectuar una elección real y no debería correr ningún riesgo de engaño, intimidación, coacción o consecuencias negativas significativas si se niega a dar el consentimiento.

El método para obtener el consentimiento debería ser apropiado para la edad y la capacidad de la persona afectada (si se conocen) y para las circunstancias particulares del caso. En la obtención del consentimiento de niñas y niños, el Responsable de los Datos debería obtener la autorización del Titular de la patria potestad o tutela, conforme a lo dispuesto en las reglas de representación previstas en el derecho interno de los Estados, o en su caso, debería solicitar directamente la autorización del menor de edad si el derecho interno de cada Estado ha establecido una edad mínima para que lo pueda otorgar directamente y sin representación alguna del Titular de la patria potestad o tutela.

El consentimiento debería reflejar la preferencia y la decisión fundamentada de la persona afectada. Evidentemente, el consentimiento obtenido bajo coacción o sobre la base de declaraciones falsas o incluso información incompleta o engañosa no puede cumplir las condiciones para la recopilación o el Tratamiento legítimos.

El intercambio y la retransmisión de Datos entre los Responsables de los datos, plantean algunas cuestiones difíciles. El consentimiento de una persona respecto de la recopilación inicial de Datos Personales no autoriza automáticamente el intercambio (o la retransmisión) de esos Datos con otros Responsables o Encargados de Datos. Se debería informar a las personas sobre esos intercambios adicionales y ofrecerles oportunidades apropiadas para que den su consentimiento.

Contexto

El requisito del consentimiento debería interpretarse de manera razonable en el entorno tecnológico en rápida evolución en el cual se tratan Datos Personales en la actualidad. La índole del consentimiento podría variar según las circunstancias del caso. En estos Principios se reconoce que, en algunas circunstancias, el “conocimiento” podría ser la norma apropiada en los casos en que el Tratamiento y la divulgación de Datos satisfagan intereses legítimos. El consentimiento implícito podría ser apropiado cuando los Datos en cuestión no sean Datos Personales Sensibles y cuando se proporciona información razonable sobre las finalidades y el método de recopilación de manera tal que se cumplan los requisitos de transparencia.

Por ejemplo, el consentimiento de una persona con respecto a la recopilación de algunos Datos Personales podría inferirse de manera razonable a partir de interacciones anteriores con Responsables de Datos (y los avisos dados por ellos) y en los casos en que la recopilación sea acorde con el contexto de la transacción para la cual se recopilaron los Datos originalmente. También podría inferirse de prácticas comúnmente aceptadas con respecto a la recopilación y el uso de Datos Personales o las obligaciones legales de los Responsables de los Datos.

Como se ha señalado anteriormente, en unos pocos casos podría autorizarse la recopilación de algunos Datos Personales sin consentimiento cuando el responsable cuente con fundamentos legales alternativos, establecidos en el derecho interno o en el derecho internacional. En esos casos, la parte que procure recopilar y tratar los Datos debería demostrar que tiene una necesidad clara de hacerlo para proteger sus intereses legítimos o los de un tercero a quien puedan divulgarse los datos. También se debería demostrar que hay un equilibrio entre los intereses legítimos de la parte que busque la divulgación y los intereses del Titular de los Datos.

En algunas situaciones, particularmente en el contexto de la acción humanitaria, obtener el consentimiento puede ser muy difícil y, por ende, puede ser necesario y legítimo recurrir a otro fundamento jurídico, como el interés público o los intereses vitales del Titular de datos. La posibilidad de basarse en motivos de interés público es particularmente relevante para organizaciones humanitarias que, debido a la naturaleza de sus actividades y las situaciones de emergencia en las que generalmente operan, tienen mayores dificultades para obtener consentimiento válido, particularmente el que sea dado de manera informada y libre. Esto puede ser el caso, por ejemplo, cuando el Tratamiento de datos personales es un prerrequisito para recibir asistencia, o cuando se requieran recopilar los datos de una persona desaparecida. En estos casos, las organizaciones humanitarias deberían fundamentar y motivar claramente su recopilación.

La condición de los “intereses legítimos” no se cumplirá si el Tratamiento tendrá efectos perjudiciales en los derechos y libertades o en intereses legítimos del Titular de los Datos. En los casos en que haya una gran discrepancia entre intereses en pugna, los intereses legítimos del Titular de los Datos tienen prelación. La recopilación y el Tratamiento de Datos de acuerdo con la condición de los intereses legítimos deberían ser justos y legítimos y ceñirse a todos los principios de la protección de Datos.

Los Datos Personales Sensibles solamente deberían procesarse sin el consentimiento explícito de su Titular en los casos en que ello sea claramente de gran interés público (según lo que esté autorizado por ley) o responda a intereses vitales del Titular de los Datos (por ejemplo, en una situación de emergencia en la cual corra peligro su vida).

Momento

Por lo general, se debería informar a la persona sobre las finalidades del Tratamiento en el momento en el cual se recopilen los Datos y se debería obtener su consentimiento en ese momento. En la mayoría de los casos, el consentimiento durará todo el tiempo que lleve el Tratamiento al cual se refiera. En algunos casos, la recopilación subsiguiente de más Datos podría basarse de manera razonable en el consentimiento anterior dado por la persona en relación con la recopilación inicial, salvo que la finalidad del Tratamiento subsecuente de los Datos sea distinta a la originalmente aceptada por el Titular.

El Titular debería tener derecho a retirar su consentimiento de manera expresa en cualquier momento, para lo cual el Responsable deberá establecer mecanismos sencillos, ágiles, eficaces y gratuitos. En general, el retiro del consentimiento no afecta la validez del Tratamiento que se hubiere hecho sobre la base del consentimiento antes de su retiro, siempre y cuando dicho retiro no esté motivado por una intención del Titular de evadir alguna responsabilidad contractual o legal, o incurrir en cualquier otra conducta ilegal o fraudulenta.

PRINCIPIO TRES: PERTINENCIA Y NECESIDAD

Los datos personales deberían ser únicamente los que resulten adecuados, pertinentes y limitados al mínimo necesario para las finalidades específicas de su recopilación y tratamiento ulterior.

La pertinencia y la necesidad son principios cruciales de la protección de Datos y la privacidad personal. Desde luego, sus requisitos deberían evaluarse en relación con el contexto específico en el cual se recopilen y ulteriormente traten los Datos. Las consideraciones contextuales incluyen qué Datos particulares se recopilan y con qué finalidades.

Pertinencia

El requisito de que los Datos sean “pertinentes” significa que deberían guardar una relación razonable con las finalidades para las cuales hayan sido recopilados y se tenga la intención de usarlos.

Por ejemplo, los Datos relativos a opiniones podrían ser fácilmente engañosos si se usan para finalidades con los cuales no guarden ninguna relación.

Necesidad y proporcionalidad

Por lo general, los Encargados de Datos deberían tratar Datos Personales solamente de una forma acorde con las finalidades expresas de su recopilación; por ejemplo, cuando sean necesarios para proporcionar el servicio o el producto solicitado por la persona. Asimismo, los recopiladores y Encargados de Datos deberían seguir un criterio de “limitación” o “minimización”, de acuerdo con el cual deberían hacer un esfuerzo razonable para cerciorarse de que los Datos Personales que manejen correspondan al mínimo requerido para la finalidad expresa. En algunos sistemas jurídicos se usa el concepto de “proporcionalidad” para hacer referencia al equilibrio de valores en pugna. La proporcionalidad requiere que las instancias decisorias determinen si una medida ha ido más allá de lo que se requiere para alcanzar una finalidad legítima y si los beneficios alegados excederán los costos previstos.

En el contexto del Tratamiento de Datos del sector público, la idea de necesidad a veces se mide sobre la base de la proporcionalidad; por ejemplo, al exigir un equilibrio entre

1) el interés del público en el Tratamiento de los Datos Personales y

2) la protección de los intereses de las personas en materia de privacidad.

De acuerdo con estos Principios, los conceptos de “necesidad” y “proporcionalidad” imponen limitaciones generales al uso, lo cual significa que los Datos Personales solo deberían usarse para cumplir los propósitos de la recopilación excepto con el consentimiento de la persona cuyos Datos Personales se recopilen o cuando sea necesario para proporcionar un producto o servicio solicitado por la persona.

No obstante, en los Principios se reconoce que el campo del Tratamiento de Datos está evolucionando continuamente desde el punto de vista tecnológico. En consecuencia, debería entenderse que este Principio abarca una medida razonable de flexibilidad y adaptabilidad.

PRINCIPIO CUATRO: TRATAMIENTO Y CONSERVACIÓN LIMITADOS

Los datos personales deberían ser tratados y conservados solamente de manera legítima no incompatible con las finalidades para las cuales se recopilaron. Su conservación no debería exceder del tiempo necesario para cumplir dichas finalidades, de conformidad con la legislación nacional correspondiente.

En este Principio se enuncian dos premisas fundamentales con respecto al Tratamiento y la conservación de Datos Personales:

1) los Datos deberían ser tratados y conservados solamente de una manera legítima que no sea incompatible con la finalidad para la cual se hayan recopilado (lo cual se denomina a veces el “principio de finalidad” o de “limitación de la finalidad”) y

2) no deberían conservarse más del tiempo necesario para cumplir su finalidad y de conformidad con la legislación nacional correspondiente.

Tratamiento limitado

Con respecto a la primera premisa, los Datos Personales deberían tratarse con finalidades determinadas, específicas, explícitas y legítimas. El Tratamiento y la conservación de Datos Personales deberían ser compatibles con las expectativas razonables de las personas, su relación con el Responsable que recopile los Datos y el aviso o los avisos proporcionados por el Responsable de datos.

No deberían tratarse ni conservarse Datos Personales con finalidades que no sean compatibles con aquellas para las cuales se hayan recopilado, excepto con el conocimiento o consentimiento del Titular de los Datos o por mandato de la ley. El concepto de “incompatibilidad” da cierto grado de flexibilidad, ya que permite hacer referencia al objetivo o finalidad general en relación con la cual la persona haya dado inicialmente su consentimiento para que se recopilaran datos. En ese sentido, la medida apropiada suele consistir en respetar el contexto en el cual la persona haya proporcionado sus Datos Personales y las expectativas razonables de la persona en esa situación particular.

Por ejemplo, cuando un Titular da su nombre y su dirección a un vendedor en línea y dicho vendedor, a su vez da el nombre del Titular y su domicilio particular al expedidor para que se puedan entregar al comprador los productos comprados, esa divulgación es evidentemente un uso “compatible” de Datos Personales. Sin embargo, si el vendedor da el nombre del Titular y su domicilio particular a otro tipo de vendedor o comerciante con fines que no sean necesarios para completar la transacción en línea del Titular y que no estén relacionados con dicha transacción, lo más probable es que sea un Tratamiento o “incompatible” de los Datos del Titular y que no estaría permitido salvo que el Titular diera su consentimiento expreso.

El Tratamiento ulterior de Datos Personales con fines archivísticos, investigación científica e histórica o con fines estadísticos, todos ellos, en favor del interés público, no se consideraría incompatible con las finalidades iniciales. No obstante, dicho tratamiento ulterior seguiría sujeto a este Principio de Tratamiento Limitado y Conservación.

Así, otro caso en el cual este Principio podría aplicarse de manera razonable y con un alto grado de flexibilidades el uso de los Datos Personales de una persona como parte de un Tratamiento más amplio (o “agregado”) de Datos de un gran número de personas por el Responsable de datos; por ejemplo, para la elaboración de inventarios o con fines estadísticos o de contabilidad.

Conservación limitada

Los Datos Personales deberían conservarse de forma que se permita la identificación de sus Titulares únicamente durante el tiempo que sea necesario para las finalidades del Tratamiento de los Datos Personales. La realidad de la tecnología moderna exige una limitación general para la conservación de los datos. Como el costo del almacenamiento de datos ha bajado considerablemente, suele ser menos costoso para los Responsables de Datos almacenarlos indefinidamente en vez de examinarlos y borrar los que no sean necesarios. No obstante, la conservación innecesaria y excesiva de Datos Personales tiene evidentemente implicaciones para la privacidad. Como regla general, por lo tanto, los Responsables deberían disponer de los Datos de manera segura y definitiva a través, por ejemplo, de eliminarlos sus archivos, registros, bases de datos, expedientes o sistemas de información, o bien deberían someterlos a un proceso de Anonimización, cuando ya no se necesiten para su fin original o tal como se disponga en la legislación nacional.

Los Datos Personales podrían conservarse durante períodos más largos siempre que se traten exclusivamente con fines archivísticos, de investigación científica e histórica o fines estadísticos, todos ellos en fin del interés público y sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas para proteger los derechos y libertades del Titular.

Asimismo, las personas deberían poder optar por dar su consentimiento, ya sea de manera expresa o implícita, para que traten y conserven sus Datos Personales con finalidades adicionales. La legislación interna pertinente podría establecer requisitos legales específicos para la conservación de Datos. Igualmente, un Responsable de Datos podría tener razones legales legítimas para conservarlos durante un período mayor al requerido; esto puede darse, por ejemplo, para cumplir otras obligaciones legales –de derecho nacional o internacional– o contractuales, o bien para proteger los derechos, la seguridad o los bienes de la persona, del Encargado de los Datos o de un tercero. Por ejemplo, los empleadores podrían conservar expedientes de ex empleados o los médicos podrían conservar expedientes de ex pacientes a fin de protegerse de ciertos tipos de acción judicial, como juicios por negligencia médica, despido ilegal, etc.

PRINCIPIO CINCO: CONFIDENCIALIDAD

Los datos personales no deberían divulgarse, ponerse a disposición de terceros, ni emplearse para otras finalidades que no sean aquellas para las cuales se recopilaron, excepto con el consentimiento de la persona en cuestión o bajo autoridad de la ley.

Este Principio deriva del deber básico del Responsable de Datos de mantener la “confidencialidad” de los Datos Personales en un entorno seguro y controlado.

Este deber requeriría que el Responsable de Datos se cerciore de que no se proporcionen tales Datos (ni se pongan a disposición por otros medios) a personas o entidades excepto con el consentimiento de la persona afectada, en consonancia con las expectativas razonables de la persona afectada o por mandato de la ley. En este último caso, la ley podría autorizar dicha divulgación para garantizar el cumplimiento de obligaciones contractuales y legales, la protección de intereses públicos y privados legítimos. Esta responsabilidad emana de la naturaleza misma de los Datos Personales.

Este deber está directamente correlacionado con aquel contenido en el Principio Seis de proteger la seguridad externa e interna y el cumplimiento de la normativa al salvaguardar los Datos. Proteger la privacidad implica no solo mantener la seguridad de los Datos Personales, sino también permitir que las personas controlen la forma en que se usan y divulgan sus Datos Personales. Un elemento esencial de esta “autodeterminación en lo que respecta a la información” es el establecimiento y mantenimiento de la confianza entre el Titular de los Datos y el Responsable de datos, especialmente con respecto a la divulgación de Datos Personales a terceros.

La divulgación de Datos Personales a las autoridades encargadas de hacer cumplir la ley y a otras agencias gubernamentales, cuando sea realizada de conformidad con la legislación nacional, no contravendría este Principio. La legislación nacional debería autorizarlo por medio de disposiciones claras y específicas.

La protección de los Datos Personales en poder de las autoridades públicas puede estar sujeta a normas diferentes en función de la naturaleza de la información y las razones de la divulgación. Estas razones y normas también deberían ser tratadas por disposiciones claras y específicas. En este contexto, se llama la atención al Capítulo IV de la Ley Modelo Interamericana sobre Acceso a la Información Pública 2.0, aprobada por la Asamblea General de la OEA en 2020, conforme a la cual los sujetos obligados deben proteger la información confidencial de las personas y en particular, los Datos Personales cuya divulgación requiera autorización de sus Titulares.

PRINCIPIO SEIS: SEGURIDAD DE LOS DATOS

La confidencialidad, integridad y disponibilidad de los datos personales deberían ser protegidas mediante salvaguardias de seguridad técnicas, administrativas u organizacionales razonables y adecuadas contra tratamientos no autorizados o ilegítimos, incluyendo el acceso, la pérdida, destrucción, daños o divulgación, aún cuando éstos ocurran de manera accidental. Dichas salvaguardias deberían ser objeto de auditoría y actualización permanente.

De acuerdo con este Principio, los Responsables de los Datos deberían establecer y mantener las medidas de carácter administrativo y técnico que sean necesarias para establecer salvaguardias de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los Datos Personales que obren en su poder o bajo su custodia (o de los cuales sean responsables) y cerciorarse de que tales Datos Personales no sean tratados ni divulgados excepto con el consentimiento de la persona o de otra autoridad legítima, ni sean accidentalmente perdidos, destruidos o dañados (3).

En términos generales, las medidas adoptadas para proteger los Datos Personales deberían ser elegidas tomando en cuenta, entre otros factores:

i) la posible afectación a los derechos de los titulares, en particular, el posible valor de los datos para una tercera persona no autorizada para su tratamiento;

ii) los costos de su implementación;

iii) las finalidades del tratamiento, y

iv) la naturaleza de los datos personales tratados, en especial los Datos Sensibles.

La índole de las salvaguardias implementadas podría variar según la sensibilidad de los datos en cuestión. Evidentemente, los Datos Sensibles requieren un nivel más alto de protección, a la luz de riesgos como por ejemplo, la usurpación de la identidad, pérdidas económicas, efectos negativos en la calificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales o profesionales, la vulneración de la intimidad sexual, o actos de violencia de género digital.

No obstante, en el contexto moderno, es técnicamente imposible garantizar la privacidad absoluta y la protección completa de los Datos Personales, puesto que el esfuerzo necesario para lograrlo impondría barreras indeseables y costos inaceptables. Asimismo, es posible que en distintos contextos se requieran soluciones y niveles de salvaguardias diferentes. Por consiguiente, este Principio requiere una valoración razonada e informada y no necesariamente se vulneraría cada vez que un Responsable de Datos experimente un acceso no autorizado, pérdida, destrucción, daño, uso, modificación o divulgación de los Datos Personales en su poder, siempre y cuando las medidas y salvaguardias implementadas hayan sido “razonables y adecuadas”.

La determinación sobre la razonabilidad y adecuación de las salvaguardias debería basarse en métodos y técnicas de seguridad de los Datos consistentes con las buenas prácticas comúnmente aceptadas, al igual que en factores como:

i) la evolución constante de las amenazas a la privacidad, especialmente las cibernéticas;

ii) los métodos y técnicas más avanzados que estén en uso en el ámbito de la seguridad de los datos,

iii) el contexto de la situación general, y

iv) la proporcionalidad y necesidad de las medidas tomadas.

Así pues, una práctica que hace solo unos meses era permisible podría considerarse en la actualidad como intrusiva, riesgosa o peligrosa para la privacidad individual. Análogamente, una restricción que haya parecido razonable hace algunos meses podría ser obsoleta o injusta a la luz de los adelantos tecnológicos. El reto consiste en proporcionar orientación válida a los Responsables de los Datos, procurando al mismo tiempo que las normas sigan siendo “tecnológicamente neutrales” y no se vuelvan obsoletas como consecuencia de los rápidos cambios tecnológicos En ese sentido, las medidas tomadas deberían revisarse, evaluarse, auditarse, actualizarse y mejorarse periódicamente.

La protección de la privacidad implica también permitir que las personas controlen su experiencia “en línea”. Además de tomar medidas de seguridad eficaces, los Responsables de Datos (tales como los proveedores de servicios en línea) deberían tener flexibilidad para proporcionar a sus usuarios medios efectivos para controlar el intercambio de Datos Personales como parte de las medidas generales de protección de la privacidad.

Vulneración de la seguridad de los Datos Personales

La incidencia creciente de intrusiones externas (“vulneración de la seguridad de los Datos Personales”), que consisten en el acceso no autorizado a datos protegidos, suscita preocupaciones relacionadas con la privacidad y tiene incluso implicaciones en el ámbito penal. En estos casos, los Responsables de los Datos deberían notificar a las personas cuyos Datos hayan sido (o puedan haber sido) comprometidos, así como a las autoridades penales o civiles relevantes. muchos países, entre los cuales se cuentan Estados Miembros de la OEA, la notificación es obligatoria por ley en esos casos.

Tales notificaciones permiten a las personas afectadas tomar medidas de protección y posiblemente tener acceso a los Datos y pedir que se corrijan Datos inexactos o el uso indebido de los Datos como consecuencia de su vulneración. Las notificaciones también podrían ofrecer incentivos a los Responsables de los Datos para asumir la responsabilidad, examinar las políticas en materia de conservación y retención de Datos y mejorar sus medidas de seguridad.

Al mismo tiempo, las leyes sobre notificación de vulneraciones de la seguridad de los Datos podrían imponer a los Responsables de los Datos la obligación de cooperar con las autoridades encargadas de hacer cumplir la ley y con otras autoridades (por ejemplo, equipos de respuesta a incidentes de informática u otras entidades responsables de la supervisión de la ciber seguridad). En la legislación nacional se deberían indicar las (pocas) situaciones concretas en que las autoridades encargadas de hacer cumplir la ley puedan requerir la divulgación de Datos Personales sin el consentimiento de las personas afectadas. Hay que tener cuidado de no imponer requisitos contradictorios a los Responsables de los Datos con respecto a la notificación y la confidencialidad.

En los casos en que se imponen sanciones a los Responsables de los Datos por incumplimiento del deber de salvaguardar y proteger, tales sanciones deberían ser proporcionales al grado de perjuicio o de riesgo. En este contexto podría ser útil que las jurisdicciones nacionales adoptaran definiciones específicas de lo que constituye una “vulneración de la seguridad de los Datos Personales” (o “acceso no autorizado”), los tipos de Datos que podrían requerir un grado mayor de protección en esos casos y las responsabilidades específicas que podría tener un Responsable de Datos en caso de una divulgación de ese tipo.

PRINCIPIO SIETE: EXACTITUD DE LOS DATOS

Los datos personales deberían mantenerse exactos, completos, y actualizados hasta donde sea necesario para las finalidades de su tratamiento, de tal manera que no se altere su veracidad.

La exactitud y la precisión revisten una importancia vital para la protección de la privacidad. Los Datos inexactos pueden perjudicar tanto al Encargado de Datos como al Titular, pero en una medida que varía mucho según el contexto.

Cuando se recopilan Datos Personales y se les retiene para seguir usándolos (en vez de hacerlo una sola vez o durante períodos cortos), el Responsable de Datos tiene la obligación de tomar medidas para que los Datos en su posesión se mantengan actualizados y sean exactos y completos, de tal manera que no se altere la veracidad de éstos, conforme sea necesario para las finalidades para las cuales se hayan recopilado y se traten.

A fin de cumplir sus obligaciones con respecto a la exactitud, los responsables de los datos deberían dar a las personas una oportunidad razonable para examinar o corregir la información personal que les hayan suministrado, o para solicitar la supresión de dichos datos. Se podría establecer un plazo razonable para la vigencia de este requisito.

Al tomar medidas para determinar la exactitud de los Datos Personales de un Titular (“calidad de los datos”), el Responsable podría considerar la sensibilidad de los Datos Personales que recopile o mantenga y la probabilidad de que éstos expongan a las personas a daños considerables, de conformidad con los requisitos del Principio Nueve.

Como se mencionó bajo los Principios Tres y Cuatro, bajo los criterios de “minimización” y Tratamiento limitado y conservación, los Datos Personales que se traten deberían corresponder al mínimo requerido para lograr las finalidades específicas y no debería retenerse por más del tiempo que sea necesario para tales fines. En muchos casos, para aplicar este Principio será necesario borrar Datos Personales que ya no se necesiten para las finalidades que justificaron inicialmente su recopilación.

En ciertas circunstancias (por ejemplo, para la investigación de fraudes o la protección contra fraudes) podría ser necesario que los Encargados traten y conserven algunos Datos inexactos o fraudulentos.

PRINCIPIO OCHO: ACCESO, RECTIFICACIÓN, CANCELACIÓN, OPOSICIÓN Y PORTABILIDAD

Se debería disponer de métodos razonables, ágiles, sencillos y eficaces para permitir que aquellas personas cuyos datos personales han sido recopilados, puedan solicitar el acceso, rectificación y cancelación de los mismos, así como el derecho a oponerse a su tratamiento y, en lo aplicable, el derecho a la portabilidad de esos datos personales. Como regla general, el ejercicio de esos derechos debería ser gratuito. En caso de que fuera necesario restringir los alcances de estos derechos, las bases específicas de cualquier restricción deberían especificarse en la legislación nacional y estar en conformidad con los estándares internacionales aplicables.

Las personas deberían tener derecho a saber si los Responsables de Datos tienen Datos Personales relacionados con ellas. Deben tener acceso a esos Datos a fin de que puedan impugnar su exactitud y pedir al Responsable que modifique, revise, corrija o elimine los Datos en cuestión. Este derecho de acceso y rectificación es una de las salvaguardias más importantes en el campo de la protección de la privacidad. Las personas deben también tener derecho a cancelar sus Datos Personales, a objetar su Tratamiento, y cuando. sea aplicable, a la portabilidad de sus Datos (4).

Sus elementos esenciales son:

i) la capacidad de la persona para obtener Datos relacionados con ella en un plazo razonable y de una forma razonable e inteligible; para saber si se ha denegado una solicitud de acceso a dichos Datos y por qué; y

ii) la capacidad de impugnar tal denegación. Como regla general, el ejercicio de esos derechos debería ser gratuito; excepcionalmente, los costos deberían ser solamente aquellos asociados por razones naturales de reproducción, envío o certificación de los datos.

En el ordenamiento jurídico interno de algunos países de las Américas (pero no en todos) se reconoce el derecho de habeas data, en virtud del cual las personas pueden entablar juicio para prevenir un presunto abuso de sus Datos Personales o ponerle fin. Ese derecho podría dar a la persona acceso a bases de datos públicas o privadas, así como el derecho a corregir los Datos en cuestión, a mantener el carácter confidencial de los Datos Personales Sensibles y a rectificar o borrar Datos perjudiciales. Como el contorno específico de este derecho varía de un Estado Miembro a otro, en estos Principios se abordan las cuestiones que plantea desde el punto de vista de cada uno de sus elementos.

La legislación nacional de cada Estado debería establecer los requerimientos, plazos, términos y condiciones en que los Titulares podrán ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad, así como las causales de improcedencia al ejercicio de los mismos. Estos derechos no son absolutos, y las legislaciones nacionales deberían especificar claramente las causas y razones por las cuales puede ser improcedente su ejercicio. Tales causales podrían incluir, de manera enunciativa mas no limitativa:

1) cuando el Tratamiento sea necesario para el cumplimiento de un objetivo importante de interés público o para el ejercicio de las funciones propias de las autoridades públicas;

2) cuando el Responsable acredite tener motivos legítimos para que el Tratamiento prevalezca sobre los intereses, los derechos y las libertades del Titular;

3) cuando el Tratamiento sea necesario para el cumplimiento de una disposición legal; o

4) cuando los Datos Personales sean necesarios para el mantenimiento o cumplimiento de una relación jurídica o contractual.

Los mecanismos previstos en la legislación nacional deberían incluir medios adecuados para que las personas que cuentan con menor acceso a la digitalidad entre ellas las mujeres, las niñas y los grupos en mayor desventaja o con diferentes ejes de exclusión, puedan acceder a los mismos.

En caso de fallecimiento o desaparición del Titular, la legislación nacional de cada Estado podrá reconocer que las personas físicas que sean sus familiares (hasta un determinado grado de consanguinidad) o representantes legales quienes ejerzan los derechos a que se refieren estos Principios respecto de los Datos de esas personas.

Además, la legislación nacional de cada Estado podrá reconocer el derecho que tiene el Titular de inconformarse o impugnar las respuestas otorgadas por el Responsable, o bien su falta de respuesta, ante una solicitud de ejercicio de los derechos aludidos en el presente Principio, ante la autoridad de control y, en su caso, ante instancias judiciales.

Los Responsables y Encargados de Datos no deberían discriminar contra los Titulares en razón de que éstos hubieren ejercido cualquiera de estos derechos, incluyendo de manera enunciativa mas no limitativa mediante la denegación de bienes o servicios al Titular, la cobranza de precios o tarifas diferentes por ellos o el otorgamiento de un nivel o calidad distinta de los bienes.

El derecho de acceso

El derecho de acceso a los Datos Personales mantenidos por un Responsable de los Datos debería ser sencillo de ejercer. Por ejemplo, los mecanismos de acceso deberían formar parte de las actividades regulares del Responsable de los Datos y no se debería requerir ninguna medida especial o procedimiento judicial (como la presentación formal de un reclamo por la vía judicial). Cada persona debería tener la posibilidad de tener acceso a sus propios datos. En algunos casos, hasta terceros podrían tener derecho también (por ejemplo, los representantes de personas con discapacidad mental o los padres de menores).

La capacidad de una persona para tener acceso a sus Datos se conoce también como derecho de “participación individual”. De acuerdo con este concepto, se debería otorgar acceso dentro de un plazo razonable y de una manera razonable. Según se mencionó, el acceso debería otorgarse libre de costo; excepcionalmente, los costos deberían ser solamente los asociados por razones naturales de reproducción, envío y certificación de los Datos. La carga y el costo de la presentación de los Datos no deberían ser irrazonables o desproporcionados.

Todo dato que vaya a proporcionarse a su Titular debería presentarse de una forma inteligible, usando un lenguaje claro y sencillo. La información debería entregarse por correo o de manera electrónica (cf. seccion “Derecho a la portabilidad de datos”, infra).

Excepciones y limitaciones

Sin embargo, el derecho de acceso no es absoluto. En todo sistema nacional hay situaciones excepcionales en las cuales se podría requerir que se mantenga el carácter confidencial de ciertos datos.

Estas circunstancias deberían enunciarse claramente en las leyes apropiadas o en otras directrices y deberían ponerse a disposición del público.

Por ejemplo, podrían surgir situaciones de ese tipo si se sospecha que la persona a la cual se refieren los Datos ha cometido un acto ilícito y es el sujeto de una investigación que estén realizando las fuerzas del orden o una entidad similar, si los registros de esa persona están mezclados con los de un tercero que también tiene intereses en materia de privacidad o si otorgar acceso al Titular de los Datos podría comprometer secretos comerciales, pruebas confidenciales o material para exámenes. Las reglas relativas a situaciones de esos tipos deberían ser lo más estrechas y restrictivas posible.

Además, por razones prácticas, un Responsable de Datos podría imponer condiciones razonables; por ejemplo, especificando el método para efectuar solicitudes y exigiendo que las  personas que efectúen solicitudes de ese tipo autentiquen su identidad por medios razonables. No es necesario que los Responsables de Datos accedan a solicitudes que impongan cargas o gastos desproporcionados, que violen los derechos a la privacidad de otras personas, que infrinjan Datos reservados o secretos comerciales, que contravengan las obligaciones legales de los Responsables de Datos o que impidan de cualquier otra forma que éstos protejan sus derechos, su seguridad o sus bienes, los de otro usuario, de una filial o de un tercero.

El derecho a impugnar la denegación de acceso Si a una persona se le deniega la solicitud de acceso, debería haber un método efectivo para que la persona (o su representante) pueda averiguar las razones de la denegación e impugnarla. Es necesario permitir que la persona se entere de las razones de una decisión adversa a fin de que pueda ejercer el derecho a impugnar la decisión y prevenir la denegación arbitraria.

Como ya se dijo, en algunos casos el derecho internacional o el derecho interno de cada Estado Miembro podrá considerar apropiado, o incluso necesario, retener ciertos datos. Sin embargo, esos casos deberían ser la excepción y no la regla, y las razones de la denegación deberían comunicarse claramente a la persona que efectúe la solicitud, a fin de prevenir la denegación arbitraria del derecho fundamental a corregir errores.

El derecho de rectificación para corregir errores y omisiones

La persona debería tener la posibilidad de ejercer el derecho a solicitar la corrección (o la adición) de Datos Personales sobre sí misma que sean incompletos, inexactos, innecesarios, excesivos o no se encuentren actualizados. Eso se conoce también como derecho de “rectificación.” Si los Datos en cuestión son incompletos o inexactos, se debería permitir que la persona proporcione más información a fin de corregir los errores u omisiones.

Si los Datos en cuestión son evidentemente inexactos, el Responsable de Datos por lo general debería corregir la inexactitud cuando el Titular de los Datos lo solicite. Incluso en los casos en que se determine que los Datos son inexactos, como en el curso de una investigación del Titular de los datos, a veces podría ser más apropiado que el Responsable de los Datos agregue material al registro en vez de borrarlo, a fin de que refleje con exactitud la historia completa de la investigación.

No se debería permitir que el Titular de los Datos introduzca Datos inexactos o erróneos en los registros del Responsable. El Titular de los Datos tampoco tiene necesariamente derecho a compeler al Responsable de los Datos a que borre Datos que sean exactos pero embarazosos.

El derecho de corrección o rectificación no es absoluto. Por ejemplo, es posible que no se autorice la modificación de Datos Personales, aunque se trate de información errónea o engañosa, en los casos en que los Datos se requieran legalmente o deban ser conservados para el cumplimiento de una obligación impuesta a la persona Responsable por la ley nacional pertinente o posiblemente por las relaciones contractuales entre la persona Responsable y el Titular de los datos.

Por consiguiente, en la legislación nacional se deberían indicar claramente las condiciones en las cuales se debería proporcionar acceso y permitir la corrección de los Datos, así como las restricciones que se apliquen y, en tal caso, los motivos de tales restricciones.

Derecho a la cancelación

En algunos marcos reglamentarios nacionales y regionales se da a las personas el derecho a solicitar que los Responsables de Datos supriman (o borren) Datos Personales específicos respecto de los cuales, aunque estén a disposición del público, las personas afirmen que ya no son necesarios o pertinentes o el Titular retire su consentimiento o se oponga a su Tratamiento.

Este derecho no es absoluto sino contingente y contextual, y requiere un equilibrio difícil de intereses y principios. El ejercicio del derecho plantea necesariamente cuestiones fundamentales en lo que se refiere no solo a la privacidad, el honor y la dignidad, sino también al derecho de acceso a la verdad, la libertad de información y de expresión, y la proporcionalidad.

Como se mencionó, la legislación nacional de cada Estado debería establecer, en su caso, la existencia del derecho a la cancelación, los requerimientos, plazos, términos y condiciones en que los Titulares podrán ejercer este derecho, así como las causales de improcedencia a su ejercicio.

En algunos Estados, el “derecho a borrar o suprimir” sigue siendo controvertido y es el tema de definiciones y puntos de vista divergentes, en relación con Datos Personales que (aunque sean ciertos o exactos en cuanto a los hechos) la persona afectada considere personalmente embarazosos, excesivos o simplemente irrelevantes.

El derecho de oposición

El Titular debería tener el derecho de oponerse, en razón de su situación particular, en cualquier momento al Tratamiento de sus Datos Personales cuando tenga una razón legítima para ello o cuando el Tratamiento de sus Datos Personales tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad. Cuando el Titular se oponga al Tratamiento con fines de mercadotecnia directa, sus Datos Personales deberían dejar de ser tratados para dichos fines.

El derecho a la portabilidad de los Datos Personales

El alcance del derecho a la portabilidad de Datos Personales es un tema emergente, que continúa siendo discutido al interior de algunos Estados Miembros, en particular respecto a los Datos que abarca y si debe abordarse de manera general o sectorizada. Un número significativo de Estados Miembros de la OEA coinciden en que, cuando se procesen Datos Personales por vía electrónica o medios

automatizados, el Titular tendrá derecho a obtener una copia de los Datos Personales que hubiere proporcionado al Responsable en un formato electrónico estructurado, de uso común y lectura mecánica, que le permita seguir utilizándolos y transferirlos a otro Responsable sin impedimento, en caso de que lo requiera.

El Titular podrá solicitar que sus Datos Personales se transfieran directamente de Responsable a Responsable, cuando sea técnicamente posible. El derecho a la portabilidad de los Datos Personales no afectará negativamente los derechos y libertades de otros.

Sin perjuicio de otros derechos del Titular, el derecho a la portabilidad de los Datos Personales no debería resultar procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o Tratamiento efectuado por el Responsable con base en los Datos Personales proporcionados por el Titular, como es el caso de los Datos Personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

PRINCIPIO NUEVE: DATOS PERSONALES SENSIBLES

Algunos tipos de datos personales, teniendo en cuenta su sensibilidad en contextos particulares, son especialmente susceptibles de causar daños considerables a las personas si se hace mal uso de ellos. Las categorías de estos datos y el alcance de su protección deberían indicarse claramente en la legislación y normativas nacionales. Los responsables de los datos deberían adoptar medidas de privacidad y de seguridad reforzadas que sean acordes con la sensibilidad de los datos y su capacidad de hacer daño a los titulares de los datos.

El término “Datos Personales Sensibles” abarca los Datos que se refieren a los aspectos más íntimos de las personas. Estos Datos merecen protección especial porque, si se manejan o se divulgan de manera indebida, darían lugar a una intrusión profunda en la dignidad personal, el honor de la persona afectada y sus libertades fundamentales, y podrían desencadenar una discriminación ilícita o arbitraria contra la persona o causar un riesgo de graves perjuicios para la persona.

Los Estados Miembros deberían indicar claramente en su legislación y normativa nacionales las categorías de Datos Personales que se consideren especialmente “sensibles” y que, por consiguiente, requieran una mayor protección. Existe una variedad de aproximaciones a estas categorías entre los Estados Miembros de la OEA. Según el contexto cultural, social o político, podría incluir, por ejemplo, los Datos relacionados con su salud personal, vida sexual, orientación sexual, creencias religiosas, filosóficas o morales, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera univoca a una persona física, opinión política u origen racial o étnico, información sobre cuentas bancarias, documentos oficiales, información recopilada de niños y niñas o geolocalización personal.

Asimismo, la legislación y la normativa nacionales deberían establecer las garantías apropiadas, que reflejen las circunstancias imperantes en la jurisdicción pertinente a fin de proteger en medida suficiente los intereses de las personas en materia de privacidad y definir el alcance de la prohibición del Tratamiento de Datos Personales Sensibles y las excepciones a la misma. Como regla general, los Datos Personales Sensibles no deberían ser Tratados excepto, por ejemplo, cuando el Titular haya otorgado consentimiento explícito para ello o cuando el Tratamiento sea estrictamente necesario para el ejercicio y cumplimiento de las atribuciones y obligaciones específicas del Responsable de Datos , o para dar cumplimiento a un mandato legal, o razones de seguridad nacional, seguridad pública, orden público, salud pública, o salvaguarda de derechos y libertades de terceros. A manera de ejemplo, la necesidad de protección contra una amenaza transfronteriza grave a la salud pública, como sería una pandemia, podría quedar comprendida en estos supuestos. Al determinar las obligaciones reglamentarias pertinentes, hay que tener en cuenta el contexto en el cual una persona proporciona esos Datos.

Debe recaer en los Responsables de Datos la carga de determinar los riesgos importantes para los Titulares de los Datos como parte del proceso general de gestión de riesgos y evaluación del impacto en la privacidad. Si se responsabiliza a quien controla efectivamente los Datos, se podrá proteger mejor a sus Titulares contra daños considerables en una amplia gama de contextos culturales.

PRINCIPIO DIEZ: RESPONSABILIDAD

Los responsables y encargados del tratamiento de datos deberían adoptar e implementar las medidas técnicas y organizacionales que sean apropiadas y efectivas para asegurar y poder demostrar que el tratamiento se realiza en conformidad con estos Principios. Dichas medidas deberían ser auditadas y actualizadas periódicamente. El responsable o encargado del tratamiento y, en lo aplicable, sus representantes, deberían cooperar, a petición, con las autoridades de protección de datos personales en el ejercicio de sus tareas.

Los sistemas de protección de la privacidad deberían reflejar un equilibrio apropiado entre la reglamentación gubernamental y la implementación ética y efectiva por aquellos que tienen responsabilidad directa por la recopilación, procesamiento, uso, retención y difusión de Datos Personales. Estos “gerentes de Datos” deberían actuar en calidad de “buen custodio” de los Datos que les proporcionen o confíen.

Responsabilidad

El principio de responsabilidad requiere el establecimiento de metas apropiadas en lo que se refiere a la protección de la privacidad, a las cuales los Responsables de Datos (organizaciones y otras entidades) deberían adherirse, permitiéndoles determinar las medidas más apropiadas para alcanzar esas metas y vigilar su cumplimiento. De esa forma, los Responsables de Datos pueden alcanzar las metas en materia de protección de la privacidad de la forma que mejor se adapte a sus modelos empresariales, la tecnología y los requisitos de sus clientes.

Los Responsables de Datos deberían implementar las medidas organizacionales y técnicas necesarias para asegurar y poder demostrar, a petición, que el Tratamiento se realiza de conformidad con estos Principios. Cuando el Tratamiento se realice en nombre de un Responsable, el Responsable debería recurrir solamente a Encargados que garanticen suficientemente la implementación de las medidas técnicas u organizacionales, que permitan que el Tratamiento cumpla con estos Principios y asegure la protección de los derechos del Titular.

En los programas y procedimientos se deberían tener en cuenta la índole de los Datos Personales en cuestión, el tamaño y la complejidad de la organización que recopila, almacena y procesa Datos, y el riesgo de vulneraciones. La protección de la privacidad depende de una evaluación creíble de los riesgos que el Tratamiento de Datos Personales podría plantear para las personas y la mitigación responsable de esos riesgos. Deberían destinarse recursos apropiados para implementar programas, políticas y procedimientos de protección de Datos Personales, que deberían incluir, entre otros, sistemas de manejo de riesgos, capacitación sobre obligaciones de protección de Datos, revisión periódica de programas de seguridad, un sistema de supervisión y vigilancia, incluyendo auditorías, para revisar el cumplimiento y actualización de las políticas de protección de Datos , así como procedimientos para recibir y responder preguntas y quejas de Titulares. En muchos casos, la designación de un “responsable principal de la información y la privacidad” facilitará la consecución de esta meta.

La adhesión a códigos de conducta o mecanismos de certificación, entre otros, pueden usarse como elementos para demostrar cumplimiento con estos Principios. Por lo tanto, las leyes y normas nacionales en materia de privacidad deberían proporcionar una orientación claramente expresada y bien definida a los Responsables de Datos, incluyendo la exigencia de que rindan cuentas del cumplimiento de estos Principios. Además del mecanismo con que cuenten las autoridades gubernamentales para hacer cumplir la normativa, el derecho interno debería proveer a las personas los mecanismos apropiados para responsabilizar a los Responsables de los Datos de las afectaciones que se produzcan (por ejemplo, mediante la indemnización por daños y perjuicios).

Incorporación de la privacidad en el diseño de sistemas

Un enfoque contemporáneo eficaz consiste en requerir que los Responsables de Datos incorporen la protección de la privacidad en el diseño y la arquitectura de sus sistemas de tecnología de la información y en sus prácticas comerciales. Deben incorporarse consideraciones de privacidad y seguridad en cada etapa del diseño de los productos.

El concepto de “privacidad por diseño” es una forma de responsabilidad proactiva y se refiere a la etapa previa a la recopilación de los datos, es decir, antes de que inicie su Tratamiento por parte del Responsable o Encargado. En estas primeras etapas es cuando los Responsables o Encargados de los Datos deberían identificar las características y posibles riesgos del Tratamiento al que van a someter los Datos que eventualmente obtengan en función de la tarea que desarrollen, producto que ofrezcan, o servicio que presten.

El diseño del modelo de Tratamiento de Datos asociado con estos productos o servicios debería priorizar la privacidad y la protección de los Datos de los usuarios, de manera consistente con estos Principios y con su legislación nacional, durante todo el tiempo que dure el dicho Tratamiento.

Asimismo, la “privacidad por defecto” está relacionada con el uso proporcional de los Datos personales con la finalidad por la cual se recopilen, conforme a los Principios Tres y Siete. Los Responsables y Encargados de los datos, al igual que los desarrolladores de aplicaciones, sistemas, servicios, plataformas y programas, deberían garantizar que, por el simple hecho de registrarse en su sitio, abrir una cuenta, utilizar su servicio, interactuar con su plataforma o descargar una aplicación, se aplique al usuario la configuración básica de privacidad de manera automática, protegiendo sus Datos Personales conforme requiera la legislación nacional. Las medidas de privacidad por defecto deberían estar completamente implementadas antes de iniciar el Tratamiento de datos personales.

Al implementar tanto la privacidad por diseño como la privacidad por defecto, se debería prestar especial atención a contar con una protección reforzada de los Datos Personales Sensibles que vayan a ser tratados y, en la medida que lo requiera la legislación nacional, documentar los riesgos identificados y las medidas tomadas para eliminar o mitigar dichos riesgos.

Responsabilidad por compartir Datos con terceros

Los Responsables de Datos deberían asumir la responsabilidad de asegurar que sus requisitos sean observados por terceros a quienes se comuniquen los Datos Personales. Esta obligación de asegurar que haya salvaguardias adecuadas de seguridad se aplica independientemente de que otra persona esté a cargo o de que un Responsable de Datos diferente trate Datos Personales en representación de la autoridad, es decir, la que está obligada a rendir cuentas). También se aplica en el caso de transferencias internacionales o transfronterizas de Datos Personales (véase el Principio Once).

PRINCIPIO ONCE: FLUJO TRANSFRONTERIZO DE DATOS Y RESPONSABILIDAD

Reconociendo su valor para el desarrollo económico y social, los Estados Miembros deberían cooperar entre sí para facilitar el flujo transfronterizo de datos personales a otros Estados cuando éstos confieran un nivel adecuado de protección de los datos de conformidad con estos Principios.

Asimismo, los Estados Miembros deberían cooperar en la creación de mecanismos y procedimientos que aseguren que los responsables y encargados del tratamiento de datos que operen en más de una jurisdicción, o los transmitan a una jurisdicción distinta de la suya, puedan garantizar y ser efectivamente hechos responsables por el cumplimiento de estos Principios.

En el mundo moderno de rápidos flujos de datos y comercio transfronterizo, es cada vez más probable que las transferencias de Datos Personales crucen fronteras nacionales. Sin embargo, la reglamentación que existe actualmente en diversas jurisdicciones nacionales varía en cuanto al fondo y al procedimiento. En consecuencia, existe la posibilidad de confusión, conflictos y contradicciones, por lo cual es deseable que los Estados Miembros de la OEA consideren reconocer estándares interoperables para transferencias transfronterizas de datos personales.

Un reto fundamental para una política y una práctica eficaces en materia de protección de Datos consiste en conciliar

1) las diferencias en los enfoques nacionales de la protección de la privacidad con la realidad moderna del flujo mundial de Datos;

2) los derechos de las personas a tener acceso a Datos en un contexto transnacional; y

3) el hecho fundamental de que los Datos y el Tratamiento de Datos impulsan el desarrollo y la innovación. Todos los instrumentos internacionales para la protección de Datos procuran alcanzar un equilibrio apropiado entre esas metas.

En estos Principios se expresa una directriz para que cada Estado Miembro de la OEA evalúe sus propios mecanismos de protección de la privacidad de cara al flujo transfronterizo de datos personales.

Al igual que en otras normas internacionales en este campo, en estos Principios se adopta una

norma de razonabilidad con respecto a las transferencias transfronterizas. Por una parte, deberían permitirse las transferencias internacionales de Datos Personales entre Estados Miembros que confieran los grados de protección reflejados en estos Principios o que protejan los Datos Personales en medida suficiente por otros medios, entre ellos mecanismos efectivos de aplicación de la normativa. Al mismo tiempo, deberían permitirse las transferencias también en los casos en que los mismos Responsables de Datos tomen medidas apropiadas para asegurar que los Datos transferidos estén protegidos de manera efectiva en consonancia en estos Principios. Los Estados Miembros deberían tomar las medidas necesarias para que los Responsables y Encargados de Datos se responsabilicen de esa protección.

Flujo transfronterizo de Datos

La transferencia de Datos Personales a través de fronteras nacionales es un hecho de la vida contemporánea. Nuestra comunidad mundial está más interconectada que nunca. En la mayoría de los países, cualquiera que tenga un teclado y conexión a internet puede conseguir fácilmente información de todas partes del mundo. En el derecho internacional se reconoce el derecho de las personas a la privacidad y a la protección de Datos Personales en consonancia con el libre flujo de información.

Algo igualmente importante es que las economías nacionales dependen en medida creciente del intercambio y el comercio transfronterizos, y la transferencia de datos (incluidos Datos Personales) es un aspecto fundamental de ese intercambio y comercio.

Con el surgimiento de nuevas tecnologías, el almacenamiento de datos está volviéndose geográficamente indeterminado. La computación y el almacenamiento “en nube” y la prevalencia creciente de servicios móviles implican necesariamente el intercambio y el almacenamiento remoto de datos a través de fronteras nacionales. Un enfoque progresista de la privacidad y la seguridad debería permitir que las empresas e industrias nacionales crezcan y compitan en el plano internacional. Las restricciones nacionales innecesarias o irrazonables a los flujos transfronterizos de datos podrían crear barreras para el comercio de servicios y dificultar el desarrollo de productos y servicios innovadores, eficientes y eficaces en función del costo. Pueden convertirse fácilmente en obstáculos para las exportaciones y ocasionar perjuicios considerables tanto a los proveedores de servicios como a personas y a clientes empresariales. Las restricciones al flujo transfronterizo de Datos Personales deberían ser proporcionales a los riesgos presentados, tomando en cuenta la sensibilidad de los Datos, y el propósito y contexto del Tratamiento. Cualesquier restricciones deberían ser no-discriminatorias.

Se alienta a los Estados Miembros de la OEA a considerar el reconocimiento de estándares interoperables para transferencias transfronterizas a fin de facilitar el flujo de Datos Personales entre Estados Miembros con distintos alcances y estados de desarrollo en sus legislaciones nacionales relativas a la privacidad y protección de Datos Personales. Esto permitiría responsabilidades compartidas y cooperación entre Estados Miembros en caso de transferencias no autorizadas, y contribuiría a incrementar el comercio, la inversión y los resultados económicos para los Estados Miembros, así como incentivar la innovación y reducir las barreras de entrada a la economía global.

Finalmente, se insta a los Estados Miembros de la OEA a asegurar que la transferencia transfronteriza de Datos Personales entre una organización humanitaria y otra entidad con la finalidad específica de brindar ayuda humanitaria se mantenga libre de restricciones en la medida de lo posible y legalmente permisible. En consecuencia, las legislaciones nacionales deberían tener en cuenta que dichas organizaciones pueden verse en la necesidad de compartir Datos Personales a través de las fronteras para salvaguardar los intereses vitales de los Titulares de los Datos, o para servir al interés público, de conformidad con el mandato de la organización humanitaria.

Restricciones nacionales basadas en distintos grados de protección

En la OEA, todos los Estados Miembros comparten la meta general de proteger la privacidad y un compromiso con el libre flujo de información en el marco de ciertos criterios. Los Estados Miembros deberían abstenerse de restringir el flujo de Datos a otros Estados que sustancialmente están observando estos Principios, o donde existen las salvaguardias apropiadas. Lo mismo ocurre con la mayoría de los países del resto del mundo. No obstante, en algunos países las autoridades han impuesto restricciones a la comunicación transfronteriza de Datos por personas y entidades sujetas a su jurisdicción en los casos en que, en opinión de esas autoridades, las normas en materia de protección de Datos de los otros países no se ciñen a los requisitos específicos de las leyes vigentes en su jurisdicción. Por ejemplo, se podría impedir que una entidad del país A comunique Datos a una entidad el país B si, en opinión de las autoridades de A, las leyes de B sobre privacidad o protección de Datos no se ciñen a las normas de A, incluso si ambas entidades forman parte de la misma organización comercial.

En (unas pocas) circunstancias particulares, las leyes nacionales podrían restringir justificadamente el flujo transnacional de Datos y requerir que los Datos se almacenen y procesen localmente. Las razones para restringir o prevenir los flujos de Datos deberían ser siempre imperiosas.

Algunas razones de tales restricciones podrían ser más imperiosas que otras. No obstante, por lo general los requisitos relativos a la “localización de Datos” son en sí contraproducentes y deberían evitarse, prefiriéndose en cambio las medidas de cooperación.

Cooperación internacional

Por las razones anteriormente expuestas, los principios y mecanismos de la cooperación internacional deberían tratar de limitar y reducir las fricciones y los conflictos entre los distintos enfoques jurídicos internos que rigen el uso y la transferencia de Datos Personales. El respeto mutuo de los requisitos establecidos en la normativa de otros países (incluidas sus salvaguardias de la privacidad) fomentará el comercio transfronterizo de servicios. Ese respeto, a su vez, debería basarse en un concepto de transparencia entre los Estados Miembros con respecto a los requisitos y los procedimientos para la protección de Datos Personales.

Los Estados Miembros deberían procurar el reconocimiento mutuo de las reglas y prácticas en materia de responsabilización, a fin de evitar conflictos y resolverlos cuando surjan. Los Estados Miembros deberían cooperar para desarrollar marcos regulatorios y estrategias para promover la transferencia transfronteriza de Datos (con las debidas salvaguardias) y no deberían imponer cargas que limiten el libre flujo de información o actividad económica entre jurisdicciones, como exigir que los proveedores de servicios operen en el país o instalen su infraestructura o sus Datos dentro de las fronteras de un país. Las leyes nacionales no deberían entorpecer el acceso de los Responsables de Datos o las personas a la información que esté almacenada fuera del país siempre que la información reciba un grado de protección que se apegue a los estándares aquí descritos.

Responsabilización de los Responsables de Datos

Desde luego, se debería exigir que los Responsables de Datos cumplan las obligaciones legales de la jurisdicción donde tengan su domicilio social y donde operen.

Al mismo tiempo, los Responsables de Datos que transfieran Datos Personales a través de fronteras deberían asumir la responsabilidad de asegurar un grado continuo de protección que sea acorde con estos Principios.

Los Responsables de Datos deberían tomar medidas razonables para que los Datos Personales estén protegidos eficazmente de acuerdo con estos Principios, sea que los Datos se transfieran a terceros dentro del país o a través de fronteras internacionales. Asimismo, deberían proporcionar a las personas del caso un aviso apropiado de tales transferencias, especificando los fines para los cuales esos terceros usarán los Datos. En general, estas obligaciones deberían reconocerse en acuerdos apropiados, en disposiciones contractuales o por medio de salvaguardias técnicas e institucionales de la seguridad, procesos para la tramitación de quejas, auditorías y medias similares. La idea es facilitar el flujo necesario de Datos Personales entre Estados Miembros y, al mismo tiempo, garantizar el derecho fundamental de las personas a la protección de sus Datos Personales.

Estos Principios podrían servir de marco acordado para la cooperación y un mayor aumento de la capacidad entre las Autoridades Responsables de la Protección de Datos de cada Estado Miembro de la OEA, sobre la base de directrices para asegurar que se cumplan los requisitos básicos de la responsabilización transfronteriza.

PRINCIPIO DOCE: EXCEPCIONES

Cualquier excepción a alguno de estos Principios debería estar prevista de manera expresa y específica en la legislación nacional, ser puesta en conocimiento del público y limitarse únicamente a motivos relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público o el interés publico.

Proteger los intereses en materia de privacidad de las personas (los ciudadanos y otros) es cada vez más importante en un mundo donde se recopilan ampliamente Datos sobre personas, se les difunde con rapidez y se les almacena durante mucho tiempo. La finalidad de estos Principios es garantizara las personas los derechos básicos que necesitan para salvaguardar sus intereses.

Sin embargo, la privacidad no es el único interés que los Estados Miembros y sus gobiernos deberían tener en cuenta en el campo de la recopilación, retención y difusión de Datos. De vez en cuando surgirá inevitablemente la necesidad de tener en cuenta otras responsabilidades del Estado, lo cual llevará a la limitación de los derechos de privacidad de las personas.

En algunos casos, es posible que las autoridades de los Estados Miembros de la OEA tengan que apartarse de estos Principios o establecer restricciones que deberían limitarse a las necesarias, adecuadas y proporcionales en una sociedad democrática para salvaguardar la seguridad nacional y la seguridad pública, la protección de la salud pública, la administración de justicia, el cumplimiento de la normativa u otras prerrogativas esenciales del orden público, la protección de los derechos y libertades de otros objetivos de interés público general. Por ejemplo, al responder a las amenazas planteadas por la delincuencia internacional, el terrorismo y la corrupción, así como a ciertas violaciones graves a los derechos humanos, las autoridades competentes de los Estados Miembros de la OEA ya han efectuado arreglos especiales para la cooperación internacional en la detección, investigación, sanción y prevención de delitos penales.

Estas excepciones y desviaciones respecto de la norma deberían ser la excepción y no la regla. Deberían aplicarse solo después de considerar lo más cuidadosamente posible la importancia e proteger la privacidad individual, la dignidad y el honor respetando los derechos y las libertades fundamentales de los Titulares. Debería haber límites sensatos en la capacidad de las autoridades nacionales para compeler a los Responsables a dar a conocer Datos Personales, manteniendo un equilibrio entre la necesidad de los Datos en circunstancias limitadas y el debido respeto al derecho de los intereses de las personas en materia de privacidad.

Los Estados Miembros de la OEA deberían abstenerse de solicitar, a través de estas excepciones, Datos personales recopilados por organizaciones humanitarias, cuando el propósito sea utilizarlos con fines no humanitarios, ya que ello podría afectar gravemente a los beneficiarios de los servicios humanitarios en detrimento de su seguridad y de la acción humanitaria en general.

Por medio de leyes o normas públicas, los Estados Miembros deberían indicar claramente esas restricciones y desviaciones respecto de la norma, los casos concretos en que pueda requerirse que los Responsables de Datos divulguen Datos Personales y las razones correspondientes.

Cualquier legislación que tenga como propósito restringir la aplicación de estos Principios debería contener como mínimo, disposiciones relativas a la finalidad del Tratamiento, las categorías de datos personales de que se trate, el alcance de las limitaciones establecidas, las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas, la determinación del Responsable, los plazos de conservación de los datos personales, los posibles riesgos para los derechos y libertades de los Titulares, y el derecho de los Titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta. Las autoridades nacionales deberían poner tales leyes o normas en conocimiento del público a la brevedad posible.

PRINCIPIO TRECE: AUTORIDADES DE PROTECCIÓN DE DATOS

Los Estados Miembros deberían establecer órganos de supervisión independientes, dotados de recursos suficientes, de conformidad con la estructura constitucional, organizacional y administrativa de cada Estado, para monitorear y promover la protección de datos personales de conformidad con estos Principios. Los Estados Miembros deberían promover la cooperación entre tales órganos.

La mayoría de los Estados Miembros de la OEA han establecido organismos reguladores nacionales autónomos que se encargan de establecer y hacer cumplir leyes, normas y requisitos relativos a la protección de Datos Personales a fin de mantener la uniformidad en todo el país. En otros Estados Miembros se han establecido normas y autoridades en materia de protección de Datos en distintos niveles del gobierno (nacional, regional y municipal). En otros, los sistemas de reglamentación difieren según el sector o la esfera de actividad (bancaria, médica, educacional, etc.) y la responsabilidad podría estar distribuida entre organismos reguladores y entidades privadas con responsabilidades legales específicas.

Como no se observa un enfoque uniforme en la región, cada Estado Miembro de la OEA deberá abordar individualmente la naturaleza específica, la estructura, las autoridades y las responsabilidades de estas Autoridades Responsables de la Protección de Datos. La legislación nacional de cada Estado debería dotar a dichas autoridades de la capacidad de cooperar internacionalmente entre sí, así como con las autoridades e instituciones públicas y privadas relevantes –incluyendo las relacionadas al ámbito penal, financiero, del consumidor, entre otras– cuyas labores tengan relación o incidencia con la protección de datos personales.

Se insta a los Estados Miembros a que establezcan disposiciones, procedimientos o instituciones jurídicos, administrativos y de otros tipos que sean apropiados y eficaces para proteger la privacidad y las libertades individuales con respecto a los Datos Personales. Deberían crear medios razonables para que las personas ejerzan sus derechos y fomentar y apoyar la autorregulación (con códigos de conducta o por otros medios) de los Responsables de Datos y los Encargados de Datos. Asimismo, deberían establecer sanciones y recursos adecuados para los casos de incumplimiento y cerciorarse de que no se discrimine injustamente contra los Titulares de los Datos.

Los Estados Miembros deberían establecer también los requisitos mínimos para cualquier tipo de protección de Datos que las autoridades escojan, a fin de proporcionarles los recursos, el financiamiento y la pericia técnica que necesiten para desempeñar sus funciones eficazmente.

ANEXO A

Parte I. Derecho a la privacidad

Como se indica en el texto, hay disposiciones relativas a la privacidad, la protección del honor personal y la dignidad, la libertad de expresión y de asociación, y el libre flujo de información en los principales sistemas de derechos humanos del mundo.

Por ejemplo, el concepto de privacidad está claramente establecido en el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en el artículo 11 de la Convención Americana sobre Derechos Humanos (“Pacto de San José”) (1969) (5).

El artículo V de la Declaración Americana de los Derechos y Deberes del Hombre dispone lo siguiente:

Toda persona tiene derecho a la protección de la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar.

Véanse también el artículo IX (“Toda persona tiene el derecho a la inviolabilidad de su domicilio”) y el artículo X (“Toda persona tiene derecho a la inviolabilidad y circulación de su correspondencia”).

El artículo 11 de la Convención Americana sobre Derechos Humanos dispone lo siguiente:

1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad.

2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.

3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques (6).

Carta de la Unión Europea

Solamente en la Carta de los Derechos Fundamentales de la Unión Europea (adoptada en 2000) se aborda la privacidad específicamente en el contexto de la protección de datos.

El artículo 8 de la Carta dispone lo siguiente:

1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.

Por consiguiente, en la Carta de la Unión Europa al parecer se hace una distinción entre la protección de datos y el derecho al respeto de la vida privada y familiar (art. 7), la libertad de pensamiento, de conciencia y de religión (art. 10), y la libertad de expresión y de información (art. 11).

Los expertos siguen debatiendo si existe un derecho independiente a la protección de la información personal o si debería considerarse en cambio como parte de un derecho más general a la privacidad (7).

Parte II. El derecho al libre flujo de información

El artículo IV de la Declaración Americana de los Derechos y Deberes del Hombre dispone lo

siguiente:

Toda persona tiene derecho a la libertad de investigación, de opinión y de expresión y difusión del pensamiento por cualquier medio.

El artículo 13 de la Convención Americana sobre Derechos Humanos dispone lo siguiente:

1. Toda persona tiene derecho a la libertad de pensamiento y de expresión. Este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección.

2. El ejercicio del derecho previsto en el inciso precedente no puede estar sujeto a previa censura sino a responsabilidades ulteriores, las que deberían estar expresamente fijadas por la ley y ser necesarias para asegurar:

a) el respeto a los derechos o a la reputación de los demás, o

b) la protección de la seguridad nacional, el orden público o la salud o la moral públicas.

3. No se puede restringir el derecho de expresión por vías o medios indirectos, tales como el abuso de controles oficiales o particulares de papel para periódicos, de frecuencias radioeléctricas, o de enseres y aparatos usados en la difusión de información o por cualesquiera otros medios encaminados a impedir la comunicación y la circulación de ideas y opiniones.

4. Los espectáculos públicos pueden ser sometidos por la ley a censura previa con el exclusivo objeto de regular el acceso a ellos para la protección moral de la infancia y la adolescencia, sin perjuicio de lo establecido en el inciso 2.

5. Estará prohibida por la ley toda propaganda en favor de la guerra y toda apología del odio nacional, racial o religioso que constituyan incitaciones a la violencia o cualquier otra acción ilegal similar contra cualquier persona o grupo de personas, por ningún motivo, inclusive los de raza, color, religión, idioma u origen nacional.

El artículo 19 de la Declaración Universal de Derechos Humanos (1948) dispone lo siguiente:

Todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión.

El artículo 10 del Convenio para la protección de los derechos humanos y de las libertades fundamentales (titulado “Libertad de expresión”) dispone lo siguiente:

1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no impide que los Estados sometan a las empresas de radiodifusión, de cinematografía o de televisión a un régimen de autorización previa.

2. El ejercicio de estas libertades, que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones, restricciones o sanciones, previstas por la ley, que constituyan medidas necesarias, en una sociedad democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la autoridad y la imparcialidad del poder judicial.

En la Declaración de Principios de la Cumbre Mundial sobre la Sociedad de la Información, de 2003 (párrs. 24-26) (que se encuentra en: http://www.itu.int/wsis/docs/geneva/official/dop-es.html) se recalca lo siguiente:

La capacidad universal de acceder y contribuir a la información, las ideas y el conocimiento es un elemento indispensable en una Sociedad de la Información integradora.

Es posible promover el intercambio y el fortalecimiento de los conocimientos mundiales en favor del desarrollo si se eliminan los obstáculos que impiden un acceso equitativo a la información para actividades económicas, sociales, políticas, sanitarias, culturales, educativas y científicas, y si se facilita el acceso a la información que está en el dominio público, lo que incluye el diseño universal y la utilización de tecnologías auxiliares.

Un dominio público rico es un factor esencial del crecimiento de la Sociedad de la Información, ya que genera ventajas múltiples tales como un público instruido, nuevos empleos, innovación, oportunidades comerciales y el avance de las ciencias. La información del dominio público debería ser fácilmente accesible en apoyo de la Sociedad de la Información, y debería estar protegida de toda apropiación indebida. Habría que fortalecer las instituciones públicas tales como bibliotecas y archivos, museos, colecciones culturales y otros puntos de acceso comunitario, para promover la preservación de las constancias documentales y el acceso libre y equitativo a la información.

Parte III. Protección de los datos personales

A continuación, se presenta una selección de los textos de instrumentos internacionales que más probablemente sean útiles para los legisladores y otras autoridades gubernamentales, en orden cronológico por año de adopción.

• Principios rectores de las Naciones Unidas para la reglamentación de los ficheros computadorizados de datos personales, adoptados mediante resolución 45/95 de la Asamblea General de las Naciones Unidas (14 de diciembre de 1990)

Directiva 95/46/EC del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (24 de octubre de 1995)

Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (nº 108, 28 de enero de 1981) y su Protocolo de enmiendas (8 de noviembre de 2001)

Directiva 2002/58/EC del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas (12 de julio de 2002)

• La Resolución de Madrid: Estándares Internacionales sobre Protección de Datos Personales y Privacidad, adoptada por la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (5 de noviembre de 2009)

• El Marco de Privacidad del Foro de Cooperación Económica Asia Pacífico (APEC) (20 de noviembre de 2004), Reglas de Privacidad Transfronteriza de APEC (13 de noviembre 2011), actualización al Marco de Privacidad de APEC aprobada por los ministros de APEC (15 de noviembre de 2016)

Directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) sobre protección de la privacidad y flujos transfronterizos de datos personales (en vigor desde el 23 de septiembre de 1980, actualizados el 12 de septiembre de 2013)

• Convenio de la Unión Africana sobre Ciberseguridad y Datos Personales (adoptado el 27 de junio de 2014)

Estándares de Protección de Datos Personales para los Estados Iberoamericanos, adoptados por la Red Iberoamericana de Protección de Datos el 20 de junio de 2017

Reglamento General de Protección de Datos de la Unión Europea (“GDPR” por sus siglas en inglés), en vigor desde el 25 de mayo de 2018

• Protocolo de enmiendas al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (“Convenio 108 plus”, abierto a firma el 10 de octubre de 2018, aún no en vigor)

• Decisión del Secretario-General de la Organización para la Cooperación y Desarrollo Económico (OCDE) sobre la Protección de Individuos en relación con el Tratamiento de sus Datos Personales, en vigor desde el 3 de mayo de 2019

————————————————————————————-

(1) Con respecto al derecho específico de las personas de tener acceso a la información pública, véase la Ley Modelo Interamericana sobre Acceso a la Información Pública, adoptada por la Asamblea General de la OEA el 8 de junio de 2010 mediante la resolución AG/RES. 2607 (XL-O/10), en la cual se incorporan los principios enunciados por la Corte Interamericana de Derechos Humanos en Claude Reyes vs. Chile, Sentencia de 19 de septiembre de 2006 (Serie C nº 151), así como los Principios sobre el Derecho de Acceso a la Información, adoptados por el Comité Jurídico Interamericano mediante la resolución CJI/RES. 147 (LXXIII-O/08).

(2) “[E]l ámbito de la privacidad se caracteriza por quedar exento e inmune a las invasiones o agresiones abusivas o arbitrarias por parte de terceros o de la autoridad pública”, Caso de las Masacres de Ituango vs. Colombia, Sentencia de 1 de julio de 2006 (párr. 149), que se encuentra en http://www.corteidh.or.cr/docs/casos/articulos/seriec_148_esp.pdf.

(3) Véase, en este sentido, el artículo 15 (“Medidas mínimas de seguridad para documentación con datos personales”) de la Ley Modelo Interamericana sobre Gestión Documental (http://www.oas.(7)rg/es/sla/ddi/docs/acceso_informacion_propuesta_ley_modelo_2.0.pdf).

(4) Véase, en este sentido, Artículo16 “Ejercicio de los derechos de acceso, rectificación y cancelación de los datos personales”, de la Ley Modelo Interamericana de Gestión Documental.

(5). Véanse también la Declaración Universal de Derechos Humanos (art. 12, 18-20), el Pacto Internacional de Derechos Civiles y Políticos (art. 17-19), el Convenio para la protección de los derechos humanos y de las libertades fundamentales (art. 8-10), la Carta de los Derechos Fundamentales de la Unión Europea (art. 1, 7, 8, 10-12) y la Carta Africana sobre los Derechos Humanos y de los Pueblos (art. 5, 8-11 y 28).

(6). Además, el artículo 14 de la Convención Americana (“Derecho de Rectificación o Respuesta”) dispone lo siguiente:

1. Toda persona afectada por informaciones inexactas o agraviantes emitidas en su perjuicio a través de medios de difusión legalmente reglamentados y que se dirijan al público en general, tiene derecho a efectuar por el mismo órgano de difusión su rectificación o respuesta en las condiciones que establezca la ley.

2. En ningún caso la rectificación o la respuesta eximirán de las otras responsabilidades legales en que se hubiese incurrido.

3. Para la efectiva protección de la honra y la reputación, toda publicación o empresa periodística, cinematográfica, de radio o televisión tendrá una persona responsable que no esté protegida por inmunidades ni disponga de fuero especial.

(7) Véase, por ejemplo, Orla Lynskey, “Deconstructing Data Protection: The ‘Added-Value’ of a Right to Data Protection in the EU Legal Order”, 63 Int’l & Comp. Law Q. 569 (2014).

22Abr/21

Resolución Propuesta de Principios de la OEA sobre la privacidad y la protección de datos personales con anotaciones, CJI/Res. 212/15, aprobada en marzo de 2015.

Resolución Propuesta de Principios de la OEA sobre la privacidad y la protección de datos personales con anotaciones, CJI/Res. 212/15, aprobada en marzo de 2015.

86º PERÍODO ORDINARIO DE SESIONES OEA/Ser.Q
23 – 27 marzo 2015 CJI/RES. 212 (LXXXVI-O/15)

Rio de Janeiro, Brasil 27 de marzo 2015
CJI/RES. 212 (LXXXVI-O/15)

PROTECCIÓN DE DATOS PERSONALES

EL COMITÉ JURÍDICO INTERAMERICANO,

CONSIDERANDO

el mandato acordado por la Asamblea General en junio del 2013, por medio de la resolución AG/RES. 2811 (XLIII-O/13), que encomendó al Comité Jurídico Interamericano que “formule propuestas a la Comisión de Asuntos Jurídicos y Políticos sobre las
distintas formas de regular la protección de datos personales, incluyendo un proyecto de Ley Modelo sobre Protección de Datos Personales, tomando en cuenta los estándares internacionales alcanzados en la materia”;


VISTO

el informe presentado por el relator del tema, doctor David P. Stewart el 24 de marzo de 2015, “Privacidad y protección de datos personales”, documento CJI/doc.474/15 rev.1, que contiene una guía legislativa para los Estados Miembros compuesta de doce “Principios de la OEA sobre protección de la privacidad y los datos personales con anotaciones”,

RESUELVE:

  1. Agradecer al relator del tema doctor David P. Stewart por la presentación del documento “Privacidad y protección de datos personales”, documento CJI/doc.474/15 rev.1.
  2. Aprobar el Informe del Comité Jurídico Interamericano, “Privacidad y protección de datos personales”, documento CJI/doc.474/15 rev.2, anexo a la presente resolución.
  3. Transmitir esta resolución al Consejo Permanente de la Organización de los Estados Americanos.
  4. Dar por concluido los trabajos del Comité Jurídico Interamericano sobre este tema.

La presente resolución fue aprobada por unanimidad en la sesión celebrada el 27 de marzo de 2015, por los siguientes miembros:

doctores

Miguel Aníbal Pichardo Olivier,

Ana Elizabeth Villalta Vizcarra,

Joel Hernández García,

José Luis Moreno Guerra,

Fabián Novak Talavera,

João Clemente Baena Soares,

Gélin Imanès Collot,

Hernán Salinas Burgos,

Ruth Stella Correa Palacio,

David P. Stewart y

Carlos Alberto Mata Prates.

10Mar/21

Decreto Supremo nº 070-2020-PCM, de 16 de abril de 2020

Decreto Supremo nº 070-2020-PCM, de 16 de abril de 2020, dictan medidas complementarias al Decreto Supremo n° 044-2020-PCM, Decreto Supremo que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19.

DECRETO SUPREMO n° 070-2020-PCM

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, la Constitución Política del Perú establece, en sus artículos 7 y 9, que todos tienen derecho a la protección de su salud, la del medio familiar y de la comunidad, así como deber de contribuir a su promoción y defensa; y que el Estado determina la política nacional de salud. El Poder Ejecutivo norma y supervisa su aplicación. Es responsable de diseñar y conducir en forma plural y descentralizada para facilitar a todos el acceso equitativo a los servicios de salud; además señala, en su artículo 44, que son deberes primordiales del Estado garantizar la plena vigencia de los derechos humanos, proteger a la población de las amenazas contra su seguridad y promover el bienestar general que se fundamenta en la justicia y en el desarrollo integral y equilibrado de la Nación;

Que, asimismo, en el numeral 1 del artículo 137 de la Constitución Política del Perú, se establece que el Presidente de la República, con acuerdo del Consejo de Ministros, puede decretar por plazo determinado en todo el territorio nacional, o en parte de él, y dando cuenta al Congreso o a la Comisión Permanente, el Estado de Emergencia, entre otros, en caso de graves circunstancias que afecten la vida de la Nación. En esta eventualidad, puede restringirse o suspenderse el ejercicio de los derechos constitucionales relativos a la libertad y la seguridad personales, la inviolabilidad de domicilio, y la libertad de reunión y de tránsito en el territorio;

Que, la Ley nº 26842, Ley General de Salud establece en los artículos II y VI del Título Preliminar, que la protección de la salud es de interés público y que es responsabilidad del Estado regularla, vigilarla y promover las condiciones que garanticen una adecuada cobertura de prestaciones de salud de la población, en términos socialmente aceptables de seguridad, oportunidad y calidad, siendo irrenunciable la responsabilidad del Estado en la provisión de servicios de salud pública; señala, en el artículo XII del Título Preliminar, que el ejercicio del derecho a la propiedad, a la inviolabilidad del domicilio, al libre tránsito, a la libertad de trabajo, empresa, comercio e industria, así como el ejercicio del derecho de reunión, están sujetos a las limitaciones que establece la ley en resguardo de la salud pública; y, en los artículos 130 y 132, habilita a la cuarentena como medida de seguridad, siempre que se sujete a los siguientes principios: sea proporcional a los fines que persiguen, su duración no exceda a lo que exige la situación de riesgo inminente y grave que la justificó, y se trate de una medida eficaz que permita lograr el fin con la menor restricción para los derechos fundamentales;

Que, de acuerdo a lo dispuesto en el numeral 13.5 del artículo 13 de la Ley nº 29733, Ley de Protección de Datos Personales, se establece que, de forma general, los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo en los casos que se citan en el artículo 14 de la citada norma que establece limitaciones al consentimiento para el tratamiento de datos personales, entre otros casos, cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias, cuando sea de interés del titular del dato, o cuando medien razones de salud pública, ambas calificadas como tales por el Ministerio de Salud; y que la Autoridad Nacional de Protección de Datos Personales, por competencia, debe realizar todas las acciones necesarias para el cumplimiento del objeto y demás disposiciones de la citada norma;

Que, mediante el Decreto de Urgencia n° 006-2020, el Decreto de Urgencia n° 007-2020 y el Decreto Legislativo n° 1412, se crea el Sistema Nacional de Transformación Digital, se aprueba el Marco de Confianza Digital y se aprueba la Ley de Gobierno Digital, respectivamente, todos ellos relacionados con el uso transversal de tecnologías digitales en el marco de la digitalización de procesos y prestación de servicios digitales en el país;

Que, mediante Decreto Supremo n° 008-2020-SA se declaró la Emergencia Sanitaria a nivel nacional por el plazo de noventa (90) días calendario, y se dictaron medidas para la prevención y control para evitar la propagación del COVID-19; y mediante Decreto Supremo n° 044-2020-PCM, se declaró Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19, precisado por los Decretos Supremos n° 045-2020-PCM y n° 046-2020-PCM, ampliado temporalmente con el Decreto Supremo n° 051-2020-PCM, para la adopción e implementación de acciones de prevención y control del COVID-19, y normas modificatorias, y prorrogado por el Decreto Supremo n° 064-2020-PCM;

Que, existiendo el riesgo de alta propagación de la enfermedad causada por el virus del COVID-19 por el tránsito de las personas es necesario durante éste periodo realizar la identificación y seguimiento de casos sospechosos o confirmados por dicha enfermedad en el territorio nacional, lo que justifica plena y temporalmente el tratamiento de los datos personales que permitan su ubicación, a fin de adoptar las medidas necesarias sobre la libertad de tránsito de dichas personas, en aras de resguardar el cumplimiento de lo dispuesto en el Decreto Supremo n° 044-2020-PCM, Decreto Supremo que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19;

Que, se aprecia la necesidad que el Estado adopte otras medidas adicionales y excepcionales para proteger eficientemente el cumplimiento de la norma referida en el párrafo anterior, en aras de resguardar la vida y la salud de la población, con el propósito de reducir la posibilidad del incremento del número de afectados por el COVID-19, sin afectar la prestación de los servicios básicos, así como la salud y alimentación de la población, a través del acceso directo y temporal a las entidades involucradas con la atención de esta emergencia, de los datos de telecomunicaciones de las personas que pudieran estar contagiadas que permitan su ubicación;

De conformidad con lo establecido en el artículo 118, y el numeral 1 del artículo 137 de la Constitución Política del Perú; la Ley nº 29158, Ley Orgánica del Poder Ejecutivo; la Ley nº 26842, Ley General de Salud; la Ley nº 29733, Ley de Protección de Datos Personales; el Decreto de Urgencia N° 006-2020, que crea el Sistema Nacional de Transformación Digital; el Decreto de Urgencia N° 007-2020, que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento; el Decreto Legislativo n° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital; y;

DECRETA:

Artículo 1. Objeto

El presente Decreto Supremo tiene por objeto regular medidas complementarias a las establecidas en el Decreto Supremo n° 044-2020-PCM, que declaró el Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19, precisado por los Decretos Supremos n° 045-2020-PCM y n° 046-2020-PCM, ampliado temporalmente con el Decreto Supremo n° 051-2020-PCM, para la adopción e implementación de acciones de prevención y control del COVID-19, y normas modificatorias, y prorrogado por el Decreto Supremo n° 064-2020-PCM, para la identificación y seguimiento de casos sospechosos o confirmados de COVID-19.

Para tales efectos, dentro de la vigencia de las mencionadas normas y de sus prórrogas, exceptúese a las personas portadoras o sospechosas de portar el COVID-19 de lo previsto en el artículo 4 del Decreto Supremo n° 044-2020-PCM, conforme a lo dispuesto en el primer párrafo del numeral 3.10 del artículo 3 del Decreto Supremo nº 051-2020-PCM, mientras no se revierta dicho estado de salud o se confirme que no son portadoras, respectivamente. En caso que dichas personas requieran ser trasladadas a un centro médico para la atención de su salud, ello será llevado a cabo por parte de personal médico, miembros de la Policía Nacional del Perú o de las Fuerzas Armadas, o de la persona autorizada por alguno de los antes mencionados.

Artículo 2. Ámbito de aplicación

La presente norma es aplicable a los concesionarios de servicios públicos de telecomunicaciones, así como a la Presidencia del Consejo de Ministros, el Ministerio de Salud y sus Organismos Públicos Adscritos, al Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), el Seguro Social de Salud (ESSALUD), la Autoridad Nacional de Protección de Datos Personales, el Registro Nacional de Identificación y Estado Civil (RENIEC), las Direcciones Regionales de Salud DIRESA de los Gobiernos Regionales GORES, la Policía Nacional del Perú–PNP y el Comando Conjunto de las Fuerzas Armadas–CCFFAA.

Artículo 3. Acceso a los datos personales derivados de las llamadas realizadas para identificación y seguimiento de potenciales casos de COVID-19

3.1. A fin de llevar a cabo las medidas previstas en el artículo 1 de la presente norma, las entidades administradoras de las centrales telefónicas de emergencia 113 y 107 acceden a los datos de las personas que realizan las llamadas a esas centrales motivado en las razones materia del presente Decreto Supremo, y para fines de corroboración de su identidad ante el RENIEC. Dicha información, debidamente anonimizada, es proporcionada a las entidades públicas citadas en el artículo 2, para las funciones y competencias que les son propias en el marco de esta epidemia a través de la Plataforma Nacional de Interoperabilidad del Estado.

3.2 De modo excepcional y para fines estrictamente limitados a la identificación y seguimiento de casos sospechosos o confirmados de COVID-19, se dispone lo siguiente:

a) Únicamente en casos sospechosos o confirmados de COVID-19, las entidades administradoras de las centrales telefónicas de emergencia pueden acceder, además, al registro histórico de la localización o geolocalización del dispositivo desde el cual se realiza la llamada, inclusive, tres (3) días antes de su realización.

b) Los concesionarios de servicios públicos de telefonía fija y móvil están obligados a brindar el acceso a localización o geolocalización del dispositivo señalado en literal a) del presente numeral, de acuerdo con la capacidad y facilidades técnicas de cada operador, debidamente sustentadas.

3.3 En mérito del objeto establecido en el artículo 1 de la presente norma, la llamada a las centrales telefónicas de emergencia 113 y 107 desde un terminal fijo o móvil, implica la geolocalización del mismo y el tratamiento del dato personal que de ella se deriva, así como la grabación de la comunicación efectuada a la central telefónica de emergencia, de acuerdo a los criterios y términos establecidos por la entidad que la administra.

Artículo 4. Medidas para la identificación y seguimiento de casos sospechosos de COVID-19

4.1 Los concesionarios de servicios públicos de telecomunicaciones, a través de sus servicios de mensajería de las redes de comunicaciones, como el servicio de mensajes cortos (SMS) o el servicio suplementario de datos no estructurados (USSD), entre otros, remiten mensajes a todos sus abonados con periodicidad semanal, durante la vigencia del Estado de Emergencia Nacional, declarado por Decreto Supremo N° 044-2020-PCM o sus ampliaciones, para difundir el cuestionario nacional o triaje inicial digital nacional implementado por el Poder Ejecutivo para la identificación de casos sospechosos de COVID-19.

4.2 Los concesionarios de servicios públicos de telecomunicaciones brindan facilidades para el acceso al cuestionario nacional o triaje inicial digital nacional implementado por el Poder Ejecutivo para la identificación de casos sospechosos de COVID-19.

4.3 El Ministerio de Salud y sus Organismos Públicos Adscritos, el Seguro Social de Salud (ESSALUD), y la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, pueden acceder y gestionar los datos que se generen como resultado del llenado de cuestionario nacional o triaje inicial digital nacional para la adopción e implementación de acciones de prevención y control del COVID-19, según corresponda. El Ministerio de Salud y el Seguro Social de Salud (ESSALUD) acceden a los datos personales que deriven del llenado del cuestionario nacional o triaje inicial digital, para efectos de la adopción de las medidas sanitarias que corresponda implementar. La Secretaría de Gobierno Digital podrá acceder a datos anonimizados que deriven de este llenado, a propósito de las competencias y funciones que le son propias en el marco de las acciones gubernamentales implementadas para enfrentar la epidemia.

4.4 Los concesionarios de servicios públicos de telecomunicaciones están obligados a brindar el acceso a la información que requieran las citadas entidades en virtud del numeral 4.3. En ningún caso, se permite el acceso al contenido de llamadas salientes y entrantes, de mensajes de texto SMS.

4.5 El Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), en el marco de sus funciones y competencias, fiscaliza el cumplimiento de las obligaciones descritas en el numeral 4.1 por parte de los operadores de servicios de telefonía; para cuyo efecto podrá requerir la información que considere necesaria a las autoridades respectivas.

Asimismo, de requerirlo la autoridad competente, brindará recomendaciones respecto del envío de los mensajes cortos (SMS) o el servicio suplementario de datos no estructurados (USSD), entre otros, a que se refiere el numeral 4.1 del presente artículo.

Artículo 5. Compartición de información y medidas para el aseguramiento de la información

5.1 Las entidades administradoras de las centrales telefónicas de emergencia 113 y 107, así como los Organismos Públicos Adscritos al Ministerio de Salud están facultados a compartir la información obtenida a partir de lo dispuesto por los artículos 3 y 4 del presente Decreto Supremo con otras entidades del Poder Ejecutivo, el Seguro Social de Salud (ESSALUD), las Direcciones Regionales de Salud de los Gobiernos Regionales, la Policía Nacional del Perú y las Fuerzas Armadas para el desarrollo de sus funciones en la implementación de acciones de prevención y control del COVID-19.

5.2 De conformidad a lo establecido en la Ley n° 29733, Ley de Protección de Datos Personales, y su Reglamento, aprobado por Decreto Supremo n° 003-2013-JUS, se deben seguir las siguientes medidas para el aseguramiento de la información:

a) Las organizaciones y las entidades que con motivo de la presente norma tienen acceso a la información a que se refieren los artículos 3 y 4, la emplean únicamente para los fines del presente Decreto Supremo.

b) Las organizaciones y las entidades que tienen acceso a dicha información adoptan las medidas técnicas, organizativas y legales correspondientes para salvaguardar la confidencialidad, integridad y disponibilidad de los datos hasta su eliminación, una vez terminado el Estado de Emergencia Nacional y sus ampliaciones.

c)El personal que tiene acceso a la referida información se encuentra obligado a guardar confidencialidad, sin perjuicio de la responsabilidad civil, penal, administrativa a que hubiera lugar.

d)Los datos recopilados son eliminados inmediatamente a la finalización del Estado de Emergencia Nacional y sus ampliaciones, y no son utilizados para ningún fin ajeno a lo indicado en el presente Decreto Supremo.

5.3 La Autoridad Nacional de Protección de Datos Personales, en el marco de sus competencias, acompaña, vigila, supervisa y fiscaliza que el tratamiento de los datos personales se realice para los fines del presente Decreto Supremo.

5.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, acompaña, supervisa y fiscaliza el correcto uso y operación de las tecnologías digitales en el despliegue de la analítica de datos, inteligencia artificial, uso predictivo, tratamiento y recopilación de los datos, la creación de servicios digitales e implementación de plataformas y aplicaciones para las interacciones digitales con los ciudadanos de acuerdo a lo establecido por el Decreto de Urgencia 007-2020, Decreto de Urgencia que aprueba el marco de confianza digital y dispone medidas para su fortalecimiento, en el marco de la Emergencia Sanitaria a nivel nacional, declarada mediante Decreto Supremo n° 008-2020-SA.

Artículo 6. Protección de datos personales, interoperabilidad entre las entidades de la Administración Pública y conectividad

6.1 El tratamiento de los datos personales de personas infectadas con el COVID-19 o bajo sospecha de estarlo a cargo de las entidades públicas, autorizadas para ello en el presente Decreto Supremo, y en su calidad de titulares del mismo, debe realizarse únicamente para el cumplimiento y el ejercicio de sus respectivas funciones, en el ámbito de sus competencias, enmarcadas en el contexto de emergencia nacional decretada.

6.2. El tratamiento de datos anonimizados de personas infectadas con el COVID-19 o bajo sospecha de estarlo, es legítimo para efectos del objeto previsto en el artículo 1 y cualquier otro tratamiento que responda a las competencias y funciones regulares de las entidades públicas.

6.3. Las entidades públicas ponen a disposición servicios de información de interoperabilidad que, deben asegurar en su diseño, desarrollo e implementación, medidas y controles que permitan proteger adecuadamente la seguridad de los datos mediante el uso de protocolos seguros de almacenamiento y comunicación, algoritmos estándar de codificación, programas o dispositivos informáticos y métodos pertinentes, de acuerdo con la normatividad vigente y las buenas prácticas que existen en materia de desarrollo de software, seguridad de la información y protección de datos personales.

6.4 Las entidades públicas deben seguir los mecanismos y disposiciones establecidas por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y la Autoridad Nacional de Protección de Datos Personales, en el ámbito de sus competencias.

Artículo 7. Refrendo

El presente Decreto Supremo es refrendado por el Presidente del Consejo de Ministros, el Ministro de Salud, el Ministro de Justicia y Derechos Humanos, el Ministro del Interior, el Ministro de Defensa y la Ministra de Trabajo y Promoción del Empleo.

Dado en la Casa de Gobierno, en Lima, a los dieciséis días del mes de abril del año dos mil veinte.

MARTÍN ALBERTO VIZCARRA CORNEJO. Presidente de la República

VICENTE ANTONIO ZEBALLOS SALINAS. Presidente del Consejo de Ministros

WALTER MARTOS RUIZ. Ministro de Defensa

CARLOS MORÁN SOTO. Ministro del Interior

FERNANDO R. CASTAÑEDA PORTOCARRERO. Ministro de Justicia y Derechos Humanos

VÍCTOR ZAMORA MESIA. Ministro de Salud

SYLVIA E. CÁCERES PIZARRO. Ministra de Trabajo y Promoción del Empleo

09Mar/21

Decreto Supremo n° 007-2018-JUS, de 15 de junio de 2018

Decreto Supremo n° 007-2018-JUS, de 15 de junio de 2018. Decreto Supremo que modifica el Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses, aprobado por el Decreto Supremo n° 019-2017-JUS

DECRETO SUPREMO nº 007-2018-JUS

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, mediante el Decreto Legislativo n° 1353 se crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortaleciendo el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses;

Que, el Decreto Legislativo citado en el considerando precedente establece que el Tribunal de Transparencia y Acceso a la Información Pública es un órgano resolutivo del Ministerio de Justicia y Derechos Humanos que constituye la última instancia en materia de transparencia y derecho al acceso a la información pública a nivel nacional. Como tal, es competente para resolver las controversias que se susciten en dichas materias;

Que, el artículo 11 del Reglamento del Decreto Legislativo n° 1353, aprobado por el Decreto Supremo n° 019-2017-JUS, establece la conformación y las funciones de una Comisión para la selección, a través de un Concurso Público, de los vocales titulares del Tribunal antes mencionado; asimismo, el artículo 12 del referido Reglamento, regula las etapas y reglas generales del citado Concurso Público;

Que, a fin de dotar de mayor transparencia, dinamismo y eficacia al proceso de selección de vocales del Tribunal, resulta necesario que el Concurso Público únicamente se restrinja a la selección de vocales titulares;

Que, el artículo 12 del Reglamento del Decreto Legislativo n° 1353, aprobado por el Decreto Supremo n° 019-2017-JUS, señala las etapas y reglas de concurso público, por lo que es necesario realizar algunos cambios de términos conceptuales porque resultan apropiados al concurso público;

Que, el artículo 13 del Reglamento del Decreto Legislativo n° 1353, aprobado por el Decreto Supremo n° 019-2017-JUS, señala que los vocales del citado Tribunal perciben dietas por el desempeño del cargo, con un máximo de cuatro (4) sesiones retribuidas al mes, aun cuando se realicen sesiones adicionales y que el monto de la dieta es fijado conforme a la normativa vigente;

Que, asimismo, el artículo 16 del citado Reglamento, precisa que el monto y número de las dietas percibidas por la participación de los vocales suplentes en las sesiones del Tribunal se sujeta a la normativa sobre la materia;

Que, atendiendo a las funciones que cumplirá el Tribunal, como última instancia administrativa, se ha propuesto que sus miembros ejerzan el cargo a tiempo completo y con dedicación exclusiva, con la finalidad de lograr una mayor eficacia y eficiencia en el cumplimiento de sus funciones. Por lo tanto, se derogue el referido artículo;

Que, es pertinente indicar la posibilidad que el Tribunal cuente con más de una sala y su implementación estará a cargo del Ministerio de Justicia y Derechos Humanos.

Que, por lo expuesto, resulta necesario modificar el señalado Reglamento para agilizar y optimizar el procedimiento de selección de los vocales del Tribunal de Transparencia y Acceso a la Información Pública, así como efectuar algunas mejoras en el desempeño del cargo, ello con el fin de garantizar el mejor desarrollo de sus funciones; del mismo modo, se realizaron algunas precisiones sobre las etapas del concurso público;

De conformidad con lo dispuesto por el numeral 8 del artículo 118 de la Constitución Política del Perú; el numeral 3 del artículo 11 de la Ley n° 29158, Ley Orgánica del Poder Ejecutivo; el Texto Único Ordenado de la Ley n° 27444, Ley del Procedimiento Administrativo General, aprobado mediante el Decreto Supremo n° 006-2017-JUS, el Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses; y el Decreto Supremo n° 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo n° 1353;

Con el voto aprobatorio del Consejo de Ministros;

DECRETA:

Artículo 1.- Modificación de los artículos 11, 12, 13 y 15 del Reglamento del Decreto Legislativo nº 1353, aprobado por Decreto Supremo n° 019-2017-JUS

Modifícanse los artículos 11, 12, 13 y 15 del Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses, aprobado mediante Decreto Supremo n° 019-2017-JUS, en los términos siguientes:

“Articulo 11.- Comisión para la selección de vocales titulares

11.1 Mediante Resolución Ministerial del Ministerio de Justicia y Derechos Humanos se conforma la Comisión de Selección y se aprueban las Bases del Concurso Público para la selección de vocales titulares del Tribunal de Transparencia y Acceso a la Información Pública. Entre los 3 (tres) vocales titulares deben haber no menos de una (1) mujer y un (1) hombre.

11.2 La Comisión de Selección está conformada por tres (3) integrantes que ejercen el cargo ad honorem.

1. Un/a (1) representante del Ministerio de Justicia y Derechos Humanos; que la preside.

2. Un/a (1) miembro propuesto por la Comisión de Alto Nivel Anticorrupción que debe provenir de la sociedad civil; y,

3. Un/a (1) representante de la Autoridad Nacional del Servicio Civil (SERVIR).

11.3 La Comisión de Selección invita a representantes de organizaciones de la sociedad civil especializadas en materia de transparencia y acceso a la información pública; así como a la Defensoría del Pueblo; la Contraloría General de la República para que puedan participar en calidad de observadores. Su no participación no invalida las acciones de la Comisión.

11.4 La Comisión de Selección se instala dentro de los dos (2) días hábiles siguientes de la fecha de publicación de la resolución ministerial que la conforma y convoca al Concurso Público dentro de los tres (3) días hábiles siguientes de la fecha en que tiene lugar su instalación.

11.5 La Comisión de Selección cuenta con un Secretario Técnico, designado por el Ministro de Justicia y Derechos Humanos. La Secretaría Técnica brinda el apoyo técnico y administrativo necesario para realizar el Concurso Público.

11.6 Las decisiones de la Comisión de Selección se adoptan por mayoría simple; las sesiones son válidas con la participación de por lo menos dos (2) de sus miembros. El presidente de la Comisión dirige las sesiones de la misma y únicamente ejerce su voto en caso de empate.

11.7 Los actos de la Comisión de Selección tienen calidad de actos de administración interna conforme a lo dispuesto en el artículo 1 numeral 1.2 inciso 1.2.1 del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General aprobado por Decreto Supremo nº 006-2017-JUS, por consiguiente, no corresponde interponer contra ellos recurso administrativo alguno”.

“Artículo 12.- Etapas y reglas generales del concurso público

12.1. El Concurso Público para la designación de vocales titulares del Tribunal tiene las siguientes etapas:

1. Convocatoria

a) La Comisión de Selección realiza la convocatoria al Concurso Público, a través de un aviso a publicarse, por única vez, en el Diario Oficial El Peruano y en cualquier otro diario de circulación nacional. En la misma fecha, la convocatoria es difundida a través del portal electrónico del Ministerio de Justicia y Derechos Humanos y en el Servicio Nacional de Empleo del Ministerio de Trabajo y Promoción del Empleo, de manera simultánea.

b) El aviso de convocatoria contiene los requisitos generales para postular, la fecha y hora de cierre de la etapa de postulación y el lugar donde debe remitirse el currículum vitae y la documentación requerida.

c) El plazo para postular es de diez (10) días hábiles contados desde el día siguiente de la fecha de la publicación del aviso de convocatoria, conforme a lo establecido en las bases del proceso. Vencido dicho plazo se cierra la etapa de postulación al Concurso Público.

d) Al término del plazo para presentar las postulaciones y con la finalidad de determinar la relación de postulantes aptos, la Comisión de Selección verifica que los postulantes cumplan con los requisitos exigidos y no se encuentren inmersos en causales de incompatibilidad. Culminada la verificación, la Comisión de Selección publica la relación de postulantes aptos en el portal institucional del Ministerio de Justicia y Derechos Humanos.

2. Evaluación

a) La etapa de evaluación tiene tres fases: prueba de conocimientos, evaluación curricular y entrevista personal. Estas fases son eliminatorias, pasando a la siguiente fase aquellos postulantes que hayan obtenido puntaje aprobatorio en la fase anterior. Los criterios para la distribución y asignación de los puntajes son establecidos en las Bases del Concurso Público.

b) La prueba de conocimientos se realiza con los postulantes que hubieran sido declarados aptos conforme a lo previsto en el numeral 1) literal d) del presente artículo dentro del plazo establecido. Esta evaluación se realiza en un plazo máximo de cinco (5) días hábiles, contados desde el día siguiente del cierre de la etapa de postulación al Concurso Público, conforme a lo descrito en el literal c) del numeral 1.

c) La Evaluación Curricular tiene como finalidad evaluar el cumplimiento de los requisitos establecidos en el artículo 12 del Decreto Legislativo nº 1353, así como la documentación sustentatoria, conforme a las bases del concurso, presentada por cada uno de los postulantes que hayan aprobado la prueba de conocimientos. Esta evaluación se realiza en un plazo máximo de diez (10) días hábiles, contados desde el día siguiente del vencimiento del plazo de cinco (05) días hábiles, descrito en el literal anterior.

d) Las bases del proceso establecen la asignación de puntajes teniendo en cuenta la formación académica y experiencia acreditada. Una vez superadas las fases de prueba de conocimientos y evaluación curricular, únicamente los siete (7) postulantes con mayor calificación ponderada, entre la evaluación de conocimientos y la evaluación curricular, pasan a la fase de entrevista personal, considerando las reglas de composición del Tribunal establecidas en el primer párrafo del artículo 11 del Decreto Legislativo nº 1353.

e) Culminada la evaluación curricular, la comisión de selección publica por dos (2) días hábiles en el portal electrónico del Ministerio de Justicia y Derechos Humanos, la lista de los siete (7) postulantes a los que hace mención el párrafo anterior, en orden alfabético, señalando el nombre completo del postulante y su número de Documento Nacional de Identidad.

f) Dentro del plazo señalado en el inciso anterior, los postulantes aptos son evaluados mediante un examen psicológico, cuyos resultados son referenciales y no otorgan puntaje para efectos del proceso de selección.

g) La comisión de selección cita a los postulantes a una entrevista personal. Las entrevistas se realizan en un plazo no mayor de tres (3) días hábiles, contados a partir del día siguiente de cumplido el plazo establecido en el inciso e).

h) Culminada la etapa de entrevista personal, la comisión de selección publica por dos (02) días hábiles en el portal institucional del Ministerio de Justicia y Derechos Humanos, la lista de los tres (03) postulantes que alcanzaron los mejores puntajes, en orden alfabético, señalando el nombre completo del postulante y su número de Documento Nacional de Identidad.

i) En caso proceda la tacha formulada contra uno de los postulantes que señala el literal h) del numeral 2 del presente artículo, se designa al postulante inmediato siguiente, según el puntaje obtenido, siempre que cumpla con el mínimo requerido. Para ello, se considera las reglas de composición del Tribunal establecidas en el artículo 11 del Decreto Legislativo nº 1353.

3. Selección

a) Culminada la etapa de evaluación, la Comisión de Selección pone en conocimiento del Ministro de Justicia y Derechos Humanos la lista de los postulantes seleccionados. La comunicación debe efectuarse en un plazo máximo de dos (2) días hábiles contados desde la fecha de conclusión de la etapa de entrevistas personales. Entregada la lista de postulantes seleccionados culmina la labor de la Comisión de Selección sin necesidad de declaración expresa.

b) Mediante resolución suprema se designa a los tres (3) vocales titulares del Tribunal de Transparencia y Acceso a la Información Pública.

12.2. De comprobarse, durante el desarrollo del Concurso Público, la existencia de alguna incompatibilidad o el incumplimiento de algunos de los requisitos establecidos en el numeral 12.1. del artículo 12 del Decreto Legislativo nº 1353, por parte de un postulante apto, la Comisión de Selección lo declara no apto en cualquier etapa del concurso público, retirando su postulación.”

“Artículo 13.- Desempeño del cargo

Los vocales titulares del Tribunal desempeñan el ejercicio de sus funciones de manera independiente, a tiempo completo y dedicación exclusiva.”

“Artículo 15.- Recusación

Los miembros del Tribunal pueden ser recusados por las partes.

La recusación se formula ante el Tribunal y se fundamenta en cualquiera de las causales de abstención. En el mismo escrito se ofrecen los medios probatorios, excepto la declaración del recusado, que es improcedente.

Cuando el vocal recusado, de forma motivada, acepta la procedencia de la causal, se excusa de seguir interviniendo.

Si no acepta la recusación, formula informe motivado y lo remite al Ministro (a) de Justicia y Derechos Humanos a fin que resuelva. El trámite de la recusación no suspende el procedimiento, pero el vocal recusado deberá abstenerse de realizar cualquier acto que ponga fin al procedimiento.

La decisión sobre la recusación es inimpugnable.”

Articulo 2.- Financiamiento

La implementación de la presente norma se financia con cargo al presupuesto institucional del Pliego n° 006: Ministerio de Justicia y Derechos Humanos, sin demandar mayores gastos al Tesoro Público.

Artículo 3.- Refrendo

El presente Decreto Supremo es refrendado por el Ministro de Justicia y Derechos Humanos.

DISPOSICIÓN COMPLEMENTARIA DEROGATORIA

Única.- Derogación

Deróguese el artículo 16 del Reglamento del Decreto Legislativo n° 1353, aprobado por Decreto Supremo n° 019-2017-JUS.

Dado en la Casa de Gobierno, en Lima, a los quince días del mes de junio del año dos mil dieciocho.

MARTÍN ALBERTO VIZCARRA CORNEJO

Presidente de la República

SALVADOR HERESI CHICOMA

Ministro de Justicia y Derechos Humanos

09Mar/21

Resolución Directoral nº 69-2020-JUS/DGTAIPD, de 17 de diciembre de 2020

Resolución Directoral nº 69-2020-JUS/DGTAIPD, de 17 de diciembre de 2020. Se dispone la publicación del Proyecto de Lineamiento para la Implementación y Actualización del Portal de Transparencia Estándar en las entidades de la Administración Pública.

VISTOS:

El Informe nº 35-2020-JUS/DGTAIPD-DTAIP del 25 de septiembre de 2020 de la Dirección de Transparencia y Acceso a la Información Pública de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; el Informe nº 076-2020-OGPM-OOM del 6 de octubre de 2020 de la Jefatura de la Oficina de Organización y Modernización; y el Informe nº 962-2020-JUS/OGAJ del 9 de diciembre de 2020 de la Oficina General de Asesoría Jurídica, y;

CONSIDERANDO:

Que, los artículos 3, 43 y 45 de la Constitución Política del Perú aluden a la transparencia como principio de relevancia constitucional implícita en el modelo de Estado democrático y social de derecho.

Que, la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública, tiene por finalidad promover la transparencia de los actos de Estado y regular el ejercicio del derecho fundamental de acceso a la información pública, reconocido en el inciso 5 del artículo 2 de la Constitución Política del Perú.

Que, mediante Decreto Legislativo nº 1353 se crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses.

Que, conforme el inciso 8 del artículo 4 del Decreto Legislativo 1353, la Autoridad Nacional de Transparencia y Acceso a la Información Pública, en adelante ANTAIP, tiene por competencia supervisar el cumplimiento de la actualización del Portal de Transparencia. Asimismo, en el inciso 2 de la misma norma, se establece que la ANTAIP tiene la función de emitir directivas y lineamientos para el cumplimiento de normas en el ámbito de su competencia;

Que, mediante el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo n° 013-2017-JUS, se señala que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, es el órgano de línea encargado de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública;

Que, conforme al inciso c) del artículo 71 del Reglamento de Organización y Funciones del MINJUSDH, unas de las funciones de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales es emitir directivas y lineamientos para el cumplimiento de normas en el ámbito de su competencia;

Que, mediante el Informe nº 35-2020-JUS/DGTAIPD-DTAIP del 25 de septiembre de 2020, la Dirección de Transparencia y Acceso a la Información Pública, elevó a la DGTAIPD el Proyecto de Lineamiento para la Implementación y Actualización del Portal de Transparencia Estándar en las entidades de la Administración Pública, junto con el Sustento de Necesidad señalando que resulta necesario contar con un instrumento normativo que incluya mejoras para optimizar el cumplimiento de las obligaciones vinculadas a los Portales de Transparencia Estándar;

Que, el Proyecto de Lineamiento incluye un nuevo rubro de Información Focalizada para las entidades que requieran publicar información no comprendida en los demás rubros temáticos del Portal de Transparencia Estándar – PTE. También menciona el uso de la interoperabilidad en el PTE y se incluye a la Plataforma Única de Declaración Jurada de Intereses de la PCM y el Sistema de Registro de Declaraciones Juradas en Línea de la Contraloría General de la República como plataformas o sistemas de información que vienen interoperando con el PTE;

Que, asimismo, se señala la información histórica que debe publicarse en el PTE y, respecto a los avisos de sinceramiento, se precisa que no es necesaria su actualización periódica en caso la entidad no genere de manera permanente la información o por el extravío o la destrucción, extracción, alteración o modificación indebida, debiéndose acreditar haber agotado las acciones para su obtención; entre otros aspectos referidos a los PTE.

Que, el Proyecto de Lineamiento precitado cuenta con opinión favorable de la Oficina General de Asesoría Jurídica plasmada en el Informe nº 962-2020-JUS/OGAJ del 9 de diciembre de 2020, concluyéndose que la DGTAIPD “se encuentra facultada para realizar una prepublicación de los lineamientos presentados y recabar los comentarios sobre las medidas propuestas”. Asimismo, cuenta con la opinión técnica favorable por parte de la Jefatura de la Oficina de Organización y Modernización contenida en el Informe nº 076-2020-OGPM-OOM del 6 de octubre de 2020;

Que, conforme al inciso 1 del artículo 14 del Reglamento que establece disposiciones relativas a la publicidad, publicación de proyectos normativos y difusión de normas legales de carácter general, aprobado por Decreto Supremo nº 001-2009-JUS, las entidades públicas se encuentran obligadas a disponer la publicación de los proyectos de normas de carácter general que sean de su competencia, en el diario oficial El Peruano, en sus Portales Electrónicos o cualquier otro medio con el fin de recibir comentarios de las personas interesadas en las medidas propuestas;

Que, siendo que el Proyecto de Lineamiento es aplicable a las entidades públicas que mantienen obligaciones en transparencia activa, así como a los ciudadanos en el sentido en que podrán contar con información oficial y actualizada sobre el quehacer público, corresponde que sea publicado en el Portal Institucional del Ministerio de Justicia y Derechos Humanos por un plazo de 20 días calendario a efectos de recibir las sugerencias, comentarios o recomendaciones de las entidades públicas, instituciones privadas, organizaciones de sociedad civil y personas naturales en general.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley nº 27806, Ley de Trasparencia y Acceso a la Información Pública, su reglamento, aprobado por Decreto Supremo n° 072-2003-PCM, el Decreto Legislativo n° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses, y su reglamento aprobado por Decreto Supremo n° 019-2017-JUS;

SE RESUELVE:

Artículo 1. Publicación del Proyecto de Lineamiento para la Implementación y Actualización del Portal de Transparencia Estándar en las entidades de la Administración Pública

Disponer la publicación del Proyecto de Lineamiento para la Implementación y Actualización del Portal de Transparencia Estándar en las entidades de la Administración Pública, el proyecto de resolución que lo aprueba, y el Sustento de la Necesidad en el Portal Institucional del Ministerio de Justicia y Derechos Humanos (https://www.gob.pe/minjus), hasta por un plazo máximo de veinte (20) días calendario, contados a partir del día siguiente de la publicación de la presente resolución, para recibir las sugerencias, comentarios o recomendaciones de las entidades públicas, instituciones privadas,  organizaciones de sociedad civil, así como de las personas naturales en general.

Artículo 2. Recepción de sugerencias, comentarios o recomendaciones

Las sugerencias, comentarios o recomendaciones pueden ser presentadas en la Mesa de Partes del Ministerio de Justicia y Derechos Humanos ubicada en la Calle Scipión Llona 350, distrito de Miraflores, provincia y departamento de Lima, o en la Mesa de Partes Virtual (https://sgd.minjus.gob.pe/sgd-virtual/public/ciudadano/ciudadanoMain.xhtml), o a través del correo electrónico [email protected]

La Dirección General de Transparencia, Acceso a la Información y Protección de Datos Personales – DGTAIPD se encuentra encargada de procesar y sistematizar las sugerencias, comentarios o recomendaciones formuladas.

Regístrese, comuníquese y publíquese.

Eduardo Luna Cervantes. Director General Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales

08Mar/21

Resolución Directoral nº 69-2018-JUS/DGTAIPD de 17 de septiembre de 2018

Resolución Directoral nº 69-2018-JUS/DGTAIPD de 17 de septiembre de 2018. Resolución Directoral que aprueba la Directiva sobre lineamientos para la clasificación de opiniones emitidas por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

Resolución Directoral nº 69-2018-JUS/DGTAIPD

Lima, 17 de setiembre de 2018

CONSIDERANDO:

Que, el artículo 3 del Decreto Legislativo nº 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de Gestión de Intereses, y el artículo 2 de su Reglamento, aprobado por Decreto Supremo nº 019-2017-JUS, establecen que el Ministerio de Justicia y Derechos Humanos ejerce la Autoridad Nacional de la Transparencia y Acceso a la Información a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales;

Que, conforme a los incisos 3, 4 y 5 del artículo 4 del Decreto Legislativo nº 1353, la Autoridad Nacional de la Transparencia y Acceso a la Información Pública se encarga de supervisar el cumplimiento de las normas en materia de transparencia y acceso a la información pública, absolver las consultas que presenten las entidades o personas jurídicas y naturales en la materia, y, fomentar la cultura de transparencia y acceso a la información pública, entre otros aspectos;

Que, el artículo 32 de la Ley nº 29733, Ley de protección de datos personales, señala que el Ministerio de Justicia y Derechos Humanos es la Autoridad Nacional de Protección de Datos Personales; mientras que, el artículo 70 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo 0013-2017-JUS, precisa que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, ejerce la Autoridad Nacional de Protección de Datos Personales;

Que, conforme a los incisos 10 y 11 del artículo 33 de la Ley nº 29733, son competencias de la Autoridad Nacional de Protección de Datos Personales absolver consultas sobre protección de datos personales y el sentido de las normas vigentes en la materia, y, de otro lado, emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales con carácter vinculante;

Que, asimismo, el artículo 70 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos establece que, siendo la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales el órgano de línea encargado de ejercer ambas Autoridades, sus funciones buscan garantizar los derechos fundamentales de acceso a la información y de protección de datos personales;

Que, de modo más específico, los incisos d y e del artículo 71 del Reglamento de Organización y Funciones del Ministerio de Justicia. y Derechos Humanos establecen como funciones de esta Dirección General, la emisión de opinión técnica sobre los proyectos de normas referidos a los ámbitos de su competencia, siendo vinculante en materia de protección de datos personales, así como la absolución de las consultas que las entidades o las personas jurídicas o naturales formulan sobre aplicación de normas de transparencia y acceso a información pública y sobre protección de datos personales;

Por las consideraciones expuestas, y de conformidad con el Decreto Legislativo Nº 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de Gestión de Intereses; su Reglamento, aprobado por el Decreto Supremo nº 019-2017-JUS; la Ley n’ 29733, Ley de Protección de Datos Personales; y, el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo 0013-2017-JUS;

SE RESUELVE:

Artículo 1.- Aprobar la Directiva nº 02-2018-JUS/DGTAIPD, “Directiva sobre lineamientos para la clasificación de opiniones emitidas por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales”

Artículo 2.- Aprobar el Anexo 1 de la Directiva nº 02-2018-JUS/DGTAIPD, “Directiva sobre lineamientos para la clasificación de opiniones emitidas por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales”, que contiene el listado de opiniones emitidas durante el 2018 conforme a los criterios emitidos en la Directiva.

Artículo 3.- Publicar en la página web del Ministerio de Justicia y Derechos Humanos la citada Directiva

Regístrese, comuníquese y publíquese.

EDUARDO LUNA CERVANTES. Director General

Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales

05Mar/21

Decreto Supremo nº 011-2018-JUS de 13 de noviembre de 2018

Decreto Supremo nº 011-2018-JUS de 13 de noviembre de 2018. Decreto Supremo que aprueba el Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la Regulación de la Gestión de Intereses, aprobado por el Decreto Supremo n° 019-2017-JUS.

DECRETO SUPREMO nº 011-2018-JUS

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, mediante Decreto Legislativo nº 1416, Decreto Legislativo que Fortalece el Tribunal de Transparencia y Acceso a la Información Pública, se fortalece el Tribunal y se implementa progresivamente el procedimiento administrativo electrónico en última instancia administrativa;

Que, la Cuarta Disposición Complementaria Final del Decreto Legislativo n° 1416, establece que mediante Decreto Supremo, con voto aprobatorio del Consejo de Ministros, se aprueba la modificación del Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la Regulación de Gestión de Intereses, aprobado por Decreto Supremo n° 019-2017-JUS, en un plazo máximo de sesenta (60) días calendario contados a partir del día siguiente de la publicación en el Diario Oficial El Peruano del referido Decreto Legislativo;

Que, la Quinta Disposición Complementaria Final del Decreto Legislativo nº 1416 establece que su entrada en vigencia es a partir del día siguiente de la publicación del Decreto Supremo que modifica el Reglamento del Decreto Legislativo n° 1353;

Que, se requiere modificar el Reglamento del Decreto Legislativo nº 1353, buscando fortalecer el Tribunal de Transparencia y Acceso a la Información Pública mediante la creación de un mayor número de Salas, que constituyen la última instancia administrativa en materia de transparencia y derecho de acceso a la información pública, así como la implementación progresiva del sistema informático para el procedimiento administrativo electrónico y un adecuado procedimiento de apelación, permitiendo que las personas puedan presentar desde cualquier parte del país su recurso de apelación y realizar el seguimiento de sus expedientes administrativos, garantizando el derecho de acceder a información pública en última y definitiva instancia administrativa;

De conformidad con lo dispuesto en el numeral 8) del artículo 118 de la Constitución Política del Perú, en concordancia con la Cuarta Disposición Complementaria Final del Decreto Legislativo n° 1416;

Con el voto aprobatorio del Consejo de Ministros;

DECRETA:

Artículo 1

Modificación de los artículos 10, 11, 12, 14 y 15 del Reglamento del Decreto Legislativo nº 1353, aprobado por Decreto Supremo n° 019-2017-JUS

Modifícanse los artículos 10, 11, 12, 14 y 15 del Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de la Gestión de Intereses, aprobado mediante Decreto Supremo n° 019-2017-JUS, el cual fue modificado por el Decreto Supremo n° 007-2018-JUS, en los términos siguientes:

“Artículo 10.- Tribunal de Transparencia y Acceso a la Información Pública

(…)

10.2. Además de las funciones señaladas en el artículo 7 del Decreto Legislativo nº 1353, el Tribunal tiene las siguientes funciones:

(…)

4) Proponer lineamientos, directivas y otros instrumentos normativos, en el ámbito de su competencia.

Artículo 10-A.- Presidente/a del Tribunal de Transparencia y Acceso a la Información Pública

10-A.1. El/la Presidente/a representa al Tribunal y es elegido/a por todos/as los/las Vocales que lo conforman.

La elección se efectúa por votación secreta y su periodo es de un (1) año. No existe reelección inmediata.

10-A.2. El/la Presidente/a del Tribunal tiene las siguientes funciones:

1) Resolver la abstención presentada por el/la Presidente/a de cada Sala y designar al/la Vocal reemplazante.

2) Resolver la recusación que se presente contra el/la Presidente/a de cada Sala del Tribunal.

3) Designar al/la Vocal que asumirá temporalmente la Presidencia de la Sala, mientras dure la ausencia del/la titular.

4) Comunicar al Despacho Ministerial la vacancia del/la Vocal del Tribunal.

5) Presentar al/la Ministro/a de Justicia y Derechos Humanos la Memoria Anual del Tribunal.

10-A.3. Para la elección se requiere la mayoría simple de los votos de todos/as los/las Vocales que conforman el Tribunal. En caso no se llegue a la mayoría requerida o se produzca un empate entre los/las candidatos/as se procede a una nueva votación.

La elección del/la Presidente/a del Tribunal es convocada por la Secretaría Técnica dentro del período de diez (10) días hábiles siguientes a la designación de los/las Vocales del Tribunal. Los resultados de la elección son comunicados al/la Ministro/a de Justicia y Derechos Humanos. Las siguientes elecciones se efectúan con veinte (20) días hábiles de anticipación a la culminación del periodo del/la Presidente/a.

En caso la elección del/la Presidente/a del Tribunal coincida con el último año del periodo de todos/as los/las Vocales, la convocatoria es efectuada dentro de los diez (10) días hábiles siguientes a la designación en el cargo de los/las nuevos/as Vocales.

10-A.4. La declaratoria de vacancia en el cargo de Vocal implica la automática pérdida del cargo de Presidente/a del Tribunal, en cuyo caso, cuando la vacancia sea declarada antes de los seis (6) meses para la culminación del periodo, la Secretaría Técnica convoca inmediatamente a elecciones para ocupar dicho cargo hasta la culminación del periodo correspondiente.

En caso la vacancia se produzca dentro de los seis (6) últimos meses del periodo, el cargo es desempeñado en calidad de interino, hasta la culminación del periodo por el/la Vocal más antiguo/a del Tribunal.

En caso que dos o más Vocales tengan la misma antigüedad en su designación, se tiene en cuenta la fecha de incorporación en el colegio profesional correspondiente.

10-A.5. En caso de ausencia temporal, las funciones del/la Presidente/a del Tribunal son asumidas, en calidad de designación temporal, por el/la Vocal más antiguo/a, conforme al párrafo precedente.

Artículo 10-B.- Presidencia de las Salas

10-B.1. El/la Presidente/a de cada Sala es elegido/a por los/las tres (3) vocales que la conforman. La elección se efectúa por votación secreta y su periodo es de un (1) año. No existe reelección inmediata.

Para la elección se requiere la mayoría simple de los votos del todos/as los/las Vocales que conforman la Sala.

En caso se produzca un empate entre los/las candidatos/as se procede a una nueva elección.

La elección del/la Presidente/a de cada Sala del Tribunal es convocada por la Secretaría Técnica dentro del período de cinco (5) días hábiles siguientes a la designación de los/las Vocales. Los resultados de la elección son informados al/la Presidente/a del Tribunal, para su respectiva comunicación al/la Ministro/a de Justicia y Derechos Humanos. Las siguientes elecciones se efectúan con diez (10) días hábiles de anticipación a la culminación del periodo del/la Presidente/a.

En caso la elección del/la Presidente/a de cada Sala coincida con el último año del periodo de todos/as los/las Vocales, la convocatoria se efectúa dentro de los cinco (5) días hábiles siguientes a la designación en el cargo de los/las nuevos/as Vocales.

10-B.2. La declaratoria de vacancia y la ausencia temporal del/la Presidente/a de cada Sala se rige por los mismos criterios establecidos para el/la Presidente/a del Tribunal.

10-B.3. El/la Presidente/a de cada Sala tiene las siguientes funciones:

1) Convocar, participar y presidir las sesiones de la Sala, emitiendo voto dirimente en caso de empate.

2) Disponer la publicación de las resoluciones emitidas por las Salas en el portal institucional del Ministerio de Justicia y Derechos Humanos.

3) Poner en conocimiento de los colegios profesionales e instancias competentes, los casos de ejercicio ilegal o indebido de la profesión, así como las actuaciones contrarias a la ética y al principio de conducta procedimental de los que son partes del procedimiento administrativo.

4) Comunicar a las entidades obligadas de brindar información respecto a la responsabilidad en que incurran sus funcionarios y/o servidores por la inobservancia de las normas de transparencia y acceso a la información pública.

5) Otras funciones desarrolladas en el Reglamento Interno del Tribunal.

Artículo 10-C.- Deberes, Derechos y Prohibiciones de los/las Vocales del Tribunal

10-C.1. Son deberes de los/las Vocales del Tribunal:

1) Guardar reserva respecto de hechos o información de los que tenga conocimiento con ocasión del ejercicio de sus funciones.

2) Adecuar su conducta a los principios, deberes y prohibiciones establecidos en el Código de Ética de la Función Pública.

3) Cumplir con los deberes y las responsabilidades que le correspondan en virtud de las normas en materia de transparencia y acceso a la información pública.

4) Cumplir con lo establecido en el Decreto Legislativo n° 1353 y sus modificatorias, así como el presente Reglamento y sus modificatorias.

10-C.2. Son derechos de los/las Vocales del Tribunal:

1) Participar con voz y voto en las sesiones de la Sala a la que corresponda, pudiendo formular peticiones o incluir temas en la agenda, conforme al procedimiento establecido en el Reglamento Interno del Tribunal.

2) Solicitar a la Secretaría Técnica apoyo técnico y/o legal que requiera para la resolución de los asuntos materia de su competencia.

3) Los demás derechos previstos en las normas legales y disposiciones que rigen el desempeño funcional de los/las Vocales del Tribunal.

10-C.3. Son prohibiciones de los/las Vocales del Tribunal:

1) Desarrollar cualquier actividad pública y/o privada vinculada con las funciones que desempeña en el Tribunal.

2) Emitir declaraciones públicas sobre los asuntos relacionados o vinculados al cumplimiento de sus funciones o actividades, sin autorización previa del/la Presidente/a del Tribunal.

3) Intervenir como abogado/a, apoderado/a, asesor/a, patrocinador/a u otro similar de persona natural o jurídica, en cualquier asunto relacionado con los procedimientos resueltos o que se encuentren pendientes de resolución en el Tribunal.

4) Percibir más de un ingreso por parte del Estado, salvo los ingresos por el desempeño de la docencia en el Sector Público, y la percepción de dieta por participación en un órgano colegiado, conforme a las normas vigentes.

5) Las demás establecidas en la normativa vigente.

Artículo 10-D.- Funciones de los Vocales

El vocal tiene las siguientes funciones:

1) Estudiar los expedientes y elaborar los proyectos de resolución. Las ponencias son debidamente sustentadas en la fecha fijada por el Presidente de la Sala.

2) Verificar que en la tramitación de los recursos de apelación se hayan aplicado los principios y respetado los derechos y garantías previstas en la Constitución Política del Perú, las Leyes y demás normas aplicables.

3) Participar y votar en las sesiones de la Sala que integra; así como, expresar las razones de su voto singular o discrepante.

4) Asistir a los informes orales, en caso que los hubiere.

5) Completar otra Sala en los casos de abstención, recusación o ausencia justificada de un vocal.

Artículo 10-E.- Secretaría Técnica del Tribunal

El Tribunal cuenta con una Secretaría Técnica encargada de prestar el apoyo técnico y administrativo que requieran las Salas del Tribunal para el cumplimiento de sus funciones.

La Secretaría Técnica brinda apoyo en la tramitación de los procedimientos administrativos que se sometan a conocimiento del Tribunal.

Se encuentra a cargo de un/a Secretario/a Técnico/a designado/a por el/la Ministro/a de Justicia y Derechos Humanos.

Para ser Secretario/a Técnico/a, se requiere ser abogado/a de profesión y contar con experiencia profesional no menor de ocho (8) años, de los cuales, cinco (5) años deben estar vinculados a la materia de transparencia y acceso a la información pública.

La Secretaría Técnica dispone la gestión y requerimiento del personal administrativo y legal del Tribunal, para el cumplimiento adecuado de sus funciones.

La Secretaría Técnica cumple las siguientes funciones:

1) Prestar asesoría técnica especializada para la elaboración de los proyectos de resoluciones.

2) Elaborar los informes y opiniones técnicas. Tramitar y coordinar la realización de las sesiones y/o diligencias del Tribunal.

3) Disponer la recepción, registro y custodia de los expedientes administrativos que son sometidos a la competencia del Tribunal, asignándolos en estricto orden de ingreso.

4) Gestionar y prestar al Tribunal el apoyo logístico administrativo que requiera para el cumplimiento de sus funciones.

5) Coordinar con el Presidente del Tribunal para la elaboración de la Memoria Anual del Tribunal.

6) Disponer la gestión y requerimientos del personal del Tribunal.

7) Celebrar, previa delegación del/la Ministro/a, acuerdos, convenios de cooperación interinstitucional y memorándum de entendimiento, con la finalidad de garantizar los derechos de las personas en materia de transparencia y el derecho de acceso a la información pública.

8) Desarrollar y participar en eventos de difusión con funcionarios y la sociedad civil sobre las competencias del Tribunal.

9) Otras funciones desarrolladas en el Reglamento Interno del Tribunal.

Artículo 11.- Comisión para la selección de Vocales

“11.1 Mediante Resolución Ministerial del Ministerio de

Justicia y Derechos Humanos, se conforma la Comisión de Selección y se aprueban las Bases del Concurso Público para la selección de Vocales de las Salas del Tribunal. Cada Sala se integra por lo menos con una (1) mujer o un (1) hombre”.

(…)

Artículo 12.- Etapas y reglas generales del concurso público

12.1. El Concurso Público para la designación de Vocales del Tribunal tiene las siguientes etapas:

1. Convocatoria

a) La Comisión de Selección realiza la convocatoria al Concurso Público, a través de un aviso a publicarse, por única vez, en el Diario Oficial El Peruano y en otro diario de circulación nacional. En la misma fecha, la convocatoria es difundida en el portal institucional del Ministerio de Justicia y Derechos Humanos y del Servicio Nacional de Empleo del Ministerio de Trabajo y Promoción del Empleo. Asimismo, la convocatoria puede difundirse en los demás medios de comunicación del Ministerio de Justicia y Derechos Humanos y de otras instituciones.

(…)

d) Al término del plazo para presentar las postulaciones y con la finalidad de determinar la relación de postulantes aptos, la Comisión de Selección verifica que los/las postulantes cumplan con los requisitos exigidos y no se encuentren inmersos en causales de incompatibilidad.

Culminada la verificación, la Comisión de Selección publica la relación de postulantes aptos y no aptos en el portal institucional del Ministerio de Justicia y Derechos Humanos. En la publicación de aptos y no aptos, se consignan los requisitos incumplidos y/o las causales de incompatibilidad.

2. Evaluación

a) La etapa de evaluación tiene tres fases: prueba de conocimientos, evaluación curricular y entrevista personal. Estas fases son eliminatorias, pasando a la siguiente fase aquellos/as postulantes que hayan obtenido puntaje aprobatorio en la fase anterior. Los criterios para la distribución y asignación de los puntajes para todas las etapas son establecidos en las Bases del Concurso Público. Culminada la evaluación programada en cada fase, no procede la evaluación en otra fecha.

(…)

d) Para la evaluación curricular, se tienen en cuenta la formación académica y experiencia acreditada. Una vez superadas las fases de prueba de conocimientos y evaluación curricular, los/las postulantes que superen la calificación mínima ponderada de ambas fases, pasan a la entrevista personal.

e) Realizada la ponderación, la Comisión de Selección publica la lista de los/las postulantes, a los que se hace mención en el literal anterior, en orden alfabético, señalando el nombre completo del/la postulante y su número de Documento Nacional de Identidad. Esta publicación se realiza en el portal institucional del Ministerio de Justicia y Derechos Humanos durante dos (2) días hábiles.

(…)

h) Culminada la etapa de entrevista personal, la Comisión de Selección publica la lista de los/las postulantes con los puntajes obtenidos, en orden alfabético, señalando el nombre completo del/la postulante y su número de Documento Nacional de Identidad. Esta publicación se realiza en el portal institucional del Ministerio de Justicia y Derechos Humanos durante dos (2) días hábiles.

3. Tachas

a) Culminada la etapa de evaluación, cualquier persona puede presentar tachas contra los/las postulantes. Estas tachas deben estar fundamentadas y acompañadas de los medios probatorios que acrediten el incumplimiento de los requisitos contenidos en el numeral 12.1 del artículo 12 del Decreto Legislativo n° 1353.

b) En caso la tacha formulada contra uno/a de los/las postulantes se declare fundada corresponde su exclusión del proceso de selección.

4. Selección

a) Culminada la etapa de tachas, la Comisión de Selección pone en conocimiento del/la Ministro/a de Justicia y Derechos Humanos la lista de los/las postulantes seleccionados/as de acuerdo al número de plazas convocadas, en un plazo máximo de dos (2) días hábiles.

Presentada la lista de los/las postulantes seleccionados/as, culmina la labor de la Comisión de Selección sin necesidad de declaración expresa.

b) Mediante Resolución Suprema se designa a los/las Vocales de las Salas del Tribunal”.

(…)

Artículo 14.- Causales de abstención

Los/las Vocales de las Salas del Tribunal se abstienen de participar en los procedimientos en los cuales identifiquen que se encuentran en alguna de las causales previstas en el artículo 97 del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo n° 006-2017-JUS, o norma que lo sustituya.

En el trámite y resolución de la abstención de los/las Vocales de las Salas del Tribunal, se consideran las siguientes reglas:

1) El escrito de abstención debidamente fundamentado es presentado por el/la Vocal ante el/la Presidente/a de la Sala respectiva, en el día que tomó conocimiento de la causal de abstención.

2) El/la Presidente/a de la Sala que toma conocimiento de la abstención, resuelve declarándola fundada o infundada, al día hábil siguiente.

3) De declararse fundada la abstención, el/la Presidente/a de Sala comunica al/la Presidente/a del Tribunal, quien designa al/la Vocal de la respectiva Sala que asume el caso. De declararse infundada la abstención, el/la Vocal que la formuló continúa conociendo el caso.

4) El/la Vocal designado/a para reemplazar al/la Vocal que formuló la abstención, es el de mayor antigüedad en su designación. En caso que dos o más Vocales tengan la misma antigüedad, se tiene en cuenta la fecha de incorporación en el colegio profesional correspondiente.

5) En caso que el/la Presidente/a de Sala formule la abstención, la presenta ante el/la Presidente/a del Tribunal, quien resuelve al día hábil siguiente y, de ser el caso, designa al/la Vocal reemplazante. Declarada fundada la abstención, el/la Vocal que la formuló está impedido de seguir conociendo el respectivo expediente.”

Artículo 15.- Recusación

“Los/las Vocales de las Salas del Tribunal pueden ser recusados por las partes.

La recusación se formula ante el/la Presidente/a de la Sala del Tribunal que corresponda y se fundamenta en cualquiera de las causales de abstención previstas en el artículo 97 del Texto Único Ordenado de la Ley nº 27444,

Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo n° 006-2017-JUS o norma que lo sustituya.

El escrito de recusación contiene los medios probatorios que lo sustentan, excepto la declaración del recusado, que es improcedente.

El procedimiento para la recusación se realiza conforme a lo establecido en el artículo 14 del presente Reglamento.

La decisión sobre la recusación es inimpugnable.”

Artículo 2.- Incorporación de los artículos 16, 17, 18, 19, y 20 al Reglamento del Decreto Legislativo nº 1353, aprobado por Decreto Supremo n° 019-2017-JUS

Incorpóranse los artículos 16, 17, 18, 19 y 20 al Reglamento del Decreto Legislativo n° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de la Gestión de Intereses, aprobado mediante Decreto Supremo n° 019-2017-JUS, en los términos siguientes:

“Artículo 16.- Ausencia de Vocal

En caso fortuito o de fuerza mayor, los/las Vocales del Tribunal justifican su ausencia a las sesiones ante el/la Presidente/a de su respectiva Sala, quien la comunica al/la Presidente/a del Tribunal.

Al tomar conocimiento de la ausencia del/la Vocal, el/la Presidente/a del Tribunal, entre los Vocales de las otras Salas del Tribunal, designa y comunica en el día al/la Vocal reemplazante que asume dicha función. Para la designación de el/la Vocal reemplazante, se adopta el criterio de antigüedad en la designación en el cargo. En caso que dos o más Vocales tengan la misma antigüedad, se tiene en cuenta la fecha de incorporación en el colegio profesional correspondiente.

Artículo 17.-Vacancia

Se declara la vacancia de los/las Vocales del Tribunal en los siguientes casos:

1) Fallecimiento.

2) Incapacidad permanente, la misma que se produce al declararse su incapacidad laboral en forma permanente.

3) Renuncia.

4) Postulación a un cargo de elección popular.

5) Haber sido sancionado con destitución conforme a la normativa correspondiente.

6) Haber sido condenado mediante sentencia firme por la comisión de delito doloso.

7) Incompatibilidad sobreviniente o carecer de los requisitos para ejercer el cargo.

El trámite de la vacancia del cargo de Vocal del Tribunal está a cargo de el/la Presidente/a del Tribunal, poniendo en conocimiento del Despacho Ministerial. La vacancia es declarada por Resolución Suprema que se publica en el Diario Oficial El Peruano, procediéndose de inmediato a la convocatoria para cubrir la plaza vacante, conforme a lo establecido en el artículo 12 del presente Reglamento.

Artículo 18.- Publicidad de las resoluciones del Tribunal

El Tribunal, a través del portal institucional del Ministerio de Justicia y Derechos Humanos, publica las resoluciones que expida en última instancia administrativa y la pone a disposición de las entidades de la Administración Pública mediante la Plataforma de Interoperabilidad del Estado (PIDE) y en el Portal Nacional de Datos Abiertos, administrada por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, así como en la Plataforma de Integridad.pe (http://peru.gob.pe/integridad), administrada por la Secretaria de Integridad Pública de la Presidencia del Consejo de Ministros de manera gratuita y permanente.

Artículo 19.- Implementación progresiva del sistema de información para el procedimiento administrativo electrónico en segunda instancia del Tribunal

El sistema de información para el procedimiento administrativo electrónico del Tribunal es una plataforma digital que tiene por finalidad facilitar la tramitación de los procedimientos administrativos y garantizar el derecho de acceso a la información pública de las personas.

Esta plataforma permite la presentación del recurso de apelación desde cualquier lugar y se implementa de manera progresiva conforme a la complejidad de los procesos del sistema. Su uso es opcional respecto a los procedimientos tradicionales.

Articulo 20.- Implementación de mecanismos complementarios de recepción de recursos

La Secretaria Técnica coordina con los órganos del Ministerio de Justicia y Derechos Humanos para la recepción de los recursos de apelación en materia de transparencia y derecho de acceso a la información pública, considerando los criterios de mayor alcance a nivel nacional y de mejor accesibilidad para las personas.”

Artículo 3.- Publicación

El presente Decreto Supremo se publica en el Diario

Oficial El Peruano, en el Portal del Estado Peruano (www. peru.gob.pe) y en el portal institucional del Ministerio de Justicia y Derechos Humanos (www.gob.pe/minjus).

Artículo 4.- Financiamiento

La implementación de la presente norma se financia con cargo al presupuesto institucional del Pliego n° 006: Ministerio de Justicia y Derechos Humanos, sin demandar mayores gastos al Tesoro Público.

Artículo 5.- Refrendo

El presente Decreto Supremo es refrendado por el Ministro de Justicia y Derechos Humanos.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera

Difusión del procedimiento en última instancia administrativa

La Secretaría Técnica del Tribunal de Transparencia y Acceso a la Información Pública promueve la difusión del procedimiento administrativo en última instancia, conforme al Texto Único Ordenado de la Ley n° 27806, Ley de Transparencia y Acceso a la Información Pública, aprobado por Decreto Supremo n° 043-2003-PCM y su Reglamento, con la finalidad de optimizar su ejecución.

Segunda

Adecuación del TUPA

Las Entidades adecuan los procedimientos de acceso a la información pública establecidos en sus Textos Únicos de Procedimientos Administrativos (TUPA) de acuerdo con la Ley n° 27806, Ley de Transparencia y Acceso a la Información Pública, su Reglamento y normas modificatorias, en el plazo de 60 días hábiles a partir del día siguiente a la publicación de la presente norma.

Tercera

Plazo para emitir Cronograma

El Ministerio de Justicia y Derechos Humanos aprueba el cronograma para el proceso de implementación progresiva de la plataforma electrónica y para el uso de documentos electrónicos en el Procedimiento Administrativo Electrónico, en un plazo de (90) días hábiles a partir del día siguiente a la publicación de la presente norma.

Cuarta

Reglamento Interno

Mediante Resolución Ministerial se aprueba el Reglamento Interno del Tribunal de Transparencia y Acceso a la Información Pública, así como medidas transitorias para la atención y resolución de la carga procedimental existente antes de la aprobación de dicha norma.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera

Modificación del artículo 5 del Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM

Modifícase el artículo 5 al del Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM, el cual fue modificado por el Decreto Supremo n° 070-2013-PCM, en los siguientes términos:

“Artículo 5.- Obligaciones del funcionario responsable de entregar la información

Las obligaciones del funcionario responsable de entregar la información, son las siguientes:

(…)

e) En caso se presenten los recursos de apelación ante la entidad que denegó el acceso a la información, debe elevarlos al Tribunal dentro de los dos (2) días hábiles siguientes a la presentación, teniendo en consideración los artículos 139 y 144 del Texto Único Ordenado de la Ley n° 27444 aprobado por Decreto Supremo n° 006-2017-JUS.”

(…)

Segunda

Modificación del artículo 16-A del Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM

Modificase el artículo 16-A al Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM, el cual fue incorporado por el Decreto Supremo n° 019-2017-JUS, en los siguientes términos:

“Artículo 16-A. Información contenida en correos electrónicos

La información contenida en correos electrónicos de los funcionarios y servidores públicos es de acceso público, siempre que se trate de información institucional de naturaleza pública. El pedido de información debe ponerse en conocimiento del funcionario o servidor público titular del correo electrónico, quién debe proporcionar la información solicitada. No es de acceso público la información contenida en correos electrónicos que tengan carácter de secreta, reservada y confidencial, de acuerdo a lo previsto en los artículos 15, 16 y 17 del Texto Único Ordenado de la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública, aprobado por Decreto Supremo n° 043-2003-PCM.

(…)”

Tercera

Incorporación del artículo 16-B en el Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM

Incorpórase el artículo 16-B en el Reglamento de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el Decreto Supremo n° 072-2003-PCM, el cual fue modificado por el Decreto Supremo n° 070-2013-PCM, en los siguientes términos:

“Artículo 16-B: Trámite del recurso de apelación El procedimiento de apelación tiene por finalidad que el Tribunal conozca y resuelva, en última instancia, las impugnaciones presentadas contra las denegatorias de las entidades obligadas a entregar información. El Tribunal resuelve los recursos de apelación dentro del plazo de 10 días hábiles, a partir de su admisibilidad.”

Dado en la Casa de Gobierno, en Lima, a los trece días del mes de noviembre del año dos mil dieciocho.

MARTÍN ALBERTO VIZCARRA CORNEJO. Presidente de la República

VICENTE ANTONIO ZEBALLOS SALINAS. Ministro de Justicia y Derechos Humanos

23Abr/20

Proyecto de Ley 300 de 2020, de 11 de marzo de 2020

Proyecto de Ley 300 de 2020, de 11 de marzo de 2020,  por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones.

Bogotá D.C., 11 de marzo de 2020

Honorable Senador

LIDIO GARCIA TURBAY

Presidente

Senado de la República

Ciudad

Asunto: Proyecto de Ley “Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones”

Señor presidente:

En ejercicio de la facultad prevista en el artículo 150 de la Constitución Política y del artículo 140 numeral 1º de la Ley 5ta de 1992, presento a consideración del Congreso de la República el presente Proyecto de Ley “Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras  disposiciones”.

Cordialmente,

CARLOS ANDRÉS TRUJILLO GONZÁLEZ

Senador de La República

PROYECTO DE LEY.

“Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones”

EL CONGRESO DE COLOMBIA

DECRETA:

Artículo 1. Objeto.

El objeto de esta Ley es el fortalecimiento de la protección de datos personales por medio del reconocimiento de los derechos y libertades digitales de los ciudadanos conforme al mandato establecido en la Constitución, predicables al entorno de Internet en cuanto a la seguridad y educación digital, así como el derecho al olvido en el marco del derecho a la intimidad, la protección de los menores en Internet y el derecho a la aclaración de informaciones en medios de comunicación digitales.

Artículo 2. Derecho a la seguridad digital.

Los usuarios de los servicios de redes sociales y servicios de la sociedad de la información equivalentes, tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de estos servicios de Internet informarán a los usuarios de sus derechos.

Artículo 3. Derecho a la educación digital:

1. El sistema educativo propenderá por garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales, y particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Instituciones educativas deberán incluir en el diseño de sus bloques de asignaturas la competencia digital a la que se refiere el numeral primero del presente artículo, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las tecnologías de la información y la comunicación, con especial atención a las situaciones que configuren cualquier forma de violencia en la red.

2. El Estado propenderá por que los docentes reciban las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos establecidos en el numeral primero del presente artículo.

Artículo 4. Protección de los menores de edad en Internet:

1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, a fin de garantizar el adecuado desarrollo de su personalidad, y preservar su dignidad y sus derechos fundamentales.

2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales, determinará la intervención del Instituto de Bienestar Familiar ICBF, que instará las medidas cautelares y de protección necesarias.

Artículo 5. Derecho de rectificación en Internet:

1. Todas las personas tienen derecho a la libertad de expresión en Internet.

2. Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos con información falsa, inexacta, equivocada, desactualizada, parcial, incompleta, fraccionada o que induzca a error, que atente contra el derecho a la honra, el buen nombre, la intimidad personal y familiar en Internet, y el derecho a comunicar o recibir libremente información veraz e imparcial atendiendo el precepto constitucional establecido en el artículo 20 superior, que garantiza el derecho a la rectificación en condiciones de equidad.

Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.

Artículo 6. Derecho a la actualización de informaciones en medios de comunicación digitales:

Toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.

En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a asuntos que sean consecuencia de decisiones judiciales o administrativas posteriores. En este caso, el aviso hará referencia a la decisión posterior.

Artículo 7. Protección de datos de los menores en Internet:

Cualquier persona ya sea natural o jurídica que desarrolle actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento previo, expreso e informado de sus representantes legales a través de la autorización de que trata el artículo 9 de la Ley 1581 de 2012.

Artículo 8. Derecho al olvido en búsquedas de Internet:

1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando no fuesen veraces, completos, exactos, comprobables, comprensibles, actualizados o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet.

Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.

2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

Artículo 9. Derecho al olvido en servicios de redes sociales y servicios de la sociedad de la información equivalentes:

1. Toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes.

2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes, cuando no fuesen veraces, completos, exactos, comprobables, comprensibles, no actualizados o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

Del mismo modo deberá procederse a la supresión de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos a la honra, buen nombre, intimidad personal o familiar, sobre el mantenimiento de los datos publicados por los servicios de redes sociales y servicios de la sociedad de la información equivalentes.

3. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio de redes sociales y servicios de la sociedad de la información equivalentes, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el numeral segundo de este artículo.

Artículo 10. Autoridad de protección de garantías de los derechos digitales:

La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar el ejercicio de los derechos consagrados en la presente ley.

PARÁGRAFO. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.

Artículo 11. Vigencia:

La presente ley rige a partir de la fecha de su promulgación y deroga las disposiciones que le sean contrarias.

CARLOS ANDRÉS TRUJILLO GONZÁLEZ, Senador de la República

Exposición de motivos.

El objetivo de esta iniciativa es regular la protección de datos personales por medio del reconocimiento de los derechos y libertades digitales de los ciudadanos, conforme al mandato establecido en la Constitución, en cuanto a la seguridad y educación digital, así como el derecho al olvido en el marco del derecho a la intimidad, la protección de los menores en Internet, y el derecho a la aclaración de informaciones en medios de comunicación digitales.

La protección de datos personales es un derecho fundamental, toda vez que, hace alusión al derecho a la honra, el buen nombre e intimidad personal y familiar, por tal razón debe garantizarse un desarrollo normativo, que permita a las mismas el control sobre sus datos personales, su uso y destino.

En Colombia según el artículo 15 de la Constitución política se establece que:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. el Habeas data según Sentencia T-729/02 de la Corte Constitucional, establece que es también el derecho hacia la autodeterminación informática, la cual es la facultad de una persona de administrar debidamente su información personal.

La Ley 1581 de 2012 instaura que los datos sensibles, según el artículo 5 son: “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

A pesar de este precepto y con relación a los datos personales, existen aún en nuestro ordenamiento jurídico vacíos en cuanto al derecho sobre protección de datos personales en internet, toda vez que, aunque existe un control por parte del titular de este derecho de conocer, actualizar y rectificar, cualquier uso ilícito que se haga sobre su información personal en cualquier base de datos ya sea de entidades públicas o privadas, cuando esta no sea veraz, completa, exacta, actualizada, comprobable y comprensible, no sucede lo mismo con la información de ésta misma índole que circula en internet, toda vez que, una vez publicada nunca desaparece de la web, lo que a todas luces vulnera derechos como la honra, el buen nombre e intimidad personal y familiar.

Mediante este proyecto de Ley se pretende una regulación uniforme, que permita eliminar cualquier información personal que no tenga el consentimiento por parte del titular. Por medio de esto se refuerza la seguridad jurídica y la transparencia en el flujo de información que se presenta actualmente en internet.

La globalización ha sido uno de los factores más importantes para el análisis y estudio de la búsqueda para la protección de datos personales, teniendo en cuenta que, con los avances en redes se necesita mitigar y controlar el tráfico ilícito de los mismos. Es importante tener conciencia de la presencia del internet y su poder, como también los riesgos y oportunidades que ofrece, ya que, dicha figura está inmersa tanto en nuestra vida íntima como colectiva.

La transformación y avance digital debe ir de la mano con el ordenamiento jurídico, es decir, debe haber una adaptación del mismo para que el crecimiento de las redes no vulnere los derechos de los ciudadanos. Si bien es cierto, en la actualidad los datos personales son un recurso fundamental de la sociedad para la información, no siempre se le da un buen uso, toda vez que, los usuarios en redes tienen acceso ilimitado a cualquier información que solicite sin casi ninguna restricción, lo que muchas veces conlleva al uso ilícito de las mismas.

Como anteriormente se dijo, existen riesgos que nos presenta la libre circulación de datos, como la información sobre los individuos, las cuales aumentan prominentemente, por lo que son más accesibles para cualquier persona y se hace más difícil el control de su destino y uso.

Ahora bien el principio de la seguridad jurídica, es esencial ya que supone una garantía de certeza para los ciudadanos. Según la sentencia T-502 de 2002:

“La seguridad jurídica es un principio central en los ordenamientos jurídicos occidentales. La Corte ha señalado que este principio ostenta rango constitucional y lo ha derivado del preámbulo de la Constitución y de los artículos 1, 2, 4, 5 y 6 de la Carta.  La seguridad jurídica es un principio que atraviesa la estructura del Estado de Derecho y abarca varias dimensiones. En términos generales supone una garantía de certeza. Esta garantía acompaña otros principios y derechos en el ordenamiento.

La seguridad jurídica no es un principio que pueda esgrimirse autónomamente, sino que se predica de algo. Así, la seguridad jurídica no puede invocarse de manera autónoma para desconocer la jerarquía normativa, en particular frente a la garantía de la efectividad de los derechos constitucionales y humanos de las personas.

En materia de competencias, la seguridad jurídica opera en una doble dimensión. De una parte, estabiliza (sin lo cual no existe certeza) las competencias de la administración, el legislador o los jueces, de manera que los ciudadanos no se vean sorprendidos por cambios de competencia. Por otra parte, otorga certeza sobre el momento en el cual ocurrirá la solución del asunto sometido a consideración del Estado” (1)

Mediante este principio, el Estado es garante de la aplicación y el cumplimiento de la norma sobre cualquier interés de la ciudadanía. Este principio determinante permite un ambiente estable y previsible en la seguridad jurídica del Estado ya que esta se basa en la certeza del derecho. Lo dicho permite que se proteja su persona, bienes y derechos para que estos no sean violentados. La confiabilidad dada al ordenamiento jurídico mediante este principio es fundamental. Hoy creemos saber que el dibujo de una lanza no garantiza una caza exitosa, pero muchos piensan todavía que ya una «ley trazada en el papel» (la promulgación de una ley) proporciona seguridad (jurídica) (2).

Por esta razón debemos utilizar los recursos internos que nos brinda el Estado y así regular sobre las garantias y libertades digitales, con el fin de que el Estado de derecho crezca análogo con el desarrollo social, para que, con esto, derechos como la honra, el buen nombre y la intimidad personal y familiar sean realmente protegidos al desvincular de la web cualquier contenido ilícito de datos personales.

Con fundamento en lo anterior el Gobierno Nacional a través de la Ley 1581 de 2012 en su título II, artículo 4 estableció los principios rectores, en referencia al tratamiento de datos personales, que permitiren el ejercicio de los derechos en él inmersos,los cuales son:

“a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;

c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;

f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma” (3).

Con lo anterior, al analizar casos donde una persona, haya presuntamente cometido un crimen el cual posteriormente por medio de sentencia se haya confirmado su inocencia o haya sufrido de una violación de su intimidad mediante una publicación de video, estos hechos pasados pueden generar un impacto negativo en la opinión del público en todo tiempo, lo cual es causante, de una reinserción social difícil, ya que deben lidiar con el recuerdo constante de esos hechos. Situaciones como las descritas denotan las imperiosa necesidad de legislar respecto del derecho al olvido, permitiendo borrar cualquier historial en la web que vulnere nuestros derechos personalísimos, para así mitigar el impacto en el entorno social.

Revisadas experiencias dentro del marco normativo internacional, se encontró que alrededor de esta temática que la Unión Europea en el Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, establece relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos mismos, que:

“El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística” (4)

Por otro lado, España en su Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, permite mediante esta, ofrecer una seguridad y garantiza a sus ciudadanos sobre el buen uso de sus datos personales y el control de los mismo.

Así mismo, desde 1978 en Francia se aprobó la Ley “Informática, Ficheros y Libertades”, en la cual en su artículo 1 desarrolla que “La informática deberá estar al servicio de cada ciudadano. Su desarrollo deberá tener lugar dentro del marco internacional. No deberá atentar la identidad humana ni a los derechos del hombre ni a la vida privada ni a las libertades individuales o públicas”. (5)

Ahora bien, en la protección de los derechos fundamentales debemos tener en cuenta que los niños y niñas juegan un papel fundamental en la proyección de este derecho, toda vez que, según (La Sala Plena de la Corte Constitucional, 2014, p.40):

“En ese orden, el interés superior del menor y la aplicación del principio pro infans deben sopesarse frente a otras garantías de los intervinientes, dando prelación a los primeros, dada su preponderancia constitucional y el estado de vulnerabilidad y debilidad manifiesta en la que se encuentran los niños, niñas y adolescentes víctimas de delitos atroces”. (6)

Para la efectiva protección integral de los derechos de los niños, en este caso sobre sus datos personales y el uso de los mismos, como Estado es necesario ofrecer la garantía del uso licito de los mismos, toda vez que, los niños por su condición de desarrollo y vulnerabilidad, no poseen la suficiente madurez para manejar información o sus propios datos personales.

Mediante la Ley 1581 de 2012, el estado generó unas garantías constitucionales para los niños, niñas y adolescentes respeto al tratamiento de sus datos personales en su artículo 7, donde establece que “Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.”

Posteriormente mediante Decreto 1377 de 2012 se adicionan dos requisitos para el tratamiento de datos de niños tales como:

“1. Que responda y respete el interés superior de los niños, niñas y adolescentes.

2. Que se asegure el respeto de sus derechos fundamentales.”

En este sentido, aún se observa un déficit de protección ante los niños, niñas y adolescentes, toda vez que, existen casos en los que menores de edad se les ha subido información intima o sensible a redes, las cuales quedan registradas en la web sin opción de ser eliminada. Por otra parte, por la poca madurez que estos poseen como se planteó anteriormente, muchas conductas en las redes tienen repercusiones en su identidad digital.

Al llegar a este punto, debemos detenernos brevemente y entender que el derecho al olvido digital según Castellano (2013) es “un derecho a equivocarse y volver a empezar”. Como también la “facultad de evitar que terceros recuerden hechos del pasado veraces y que en su día revistieron una notoriedad pública que con el paso del tiempo pereció” (7).

El simple hecho de que una información sea vulneradora de derechos hacia una persona, es motivo para que se haga la solicitud ante los responsables de las páginas que lo contengan y esta sea eliminada de las mismas, por consiguiente y como ciudadanos, el Estado debe dar la posibilidad de tener la potestad de decidir cual información personal queremos que circule sobre nosotros en la web.

La misma Corte Constitucional en sentencia T- 414 de 1992 ha dicho que:

“recordar que a partir de la década del cincuenta máquinas tales como los computadores han hecho posible no sólo crear e interconectar enormes “bancos de datos” que pueden suministrar inmediatamente una vasta cantidad de información personal a grandes distancias y en forma más comprensiva, sino también establecer correlaciones entre datos que aisladamente son las más de las veces inofensivos pero que reunidos pueden descubrir aspectos cuya revelación atenta contra la libertad e intimidad del ciudadano”.

Este derecho sería un desarrollo, sobre todo en el aspecto de circulación de información falsa, ya que, según la doctrina “Toda persona natural tiene el derecho de comprobar frente al responsable del tratamiento de la información la exactitud y veracidad y solicitar la rectificación de sus datos personales recolectados cuando los mismos resulten inexactos, estén incompletos o conlleven a error. Los titulares de la información deberán indicar los datos que solicitan corregir y además acompañar la documentación que justifique lo solicitado”. (8)

Cuando se trata de falsedad en la información personal, es decir, datos sustancialmente erróneos, el afectado debe estar facultado para solicitar la rectificación de la información, la cual es generadora de una mala reputación injustificada, poder requerir mediante fundamentos válidos su eliminación, toda vez que lesiona los derechos a la honra, el buen nombre y la intimidad personal y familiar.

La dignidad humana entra a jugar un rol fundamental, teniendo en cuenta que la flagrante violación de los derechos personalísimos de las personas tales como la honra, el buen nombre y la intimidad personal y familiar denota un Estado con un ordenamiento jurídico débil.

El Estado debe facultar mediante herramientas idóneas el reconocimiento y respeto de la dignidad de cada persona, toda vez que, “cuando un sujeto pretende corregir información falsa o discriminatoria almacenada en un banco de datos público o privado y que es difundida a terceros, lo que intenta es principalmente tutelar la identidad que el registrado posee frente a la sociedad (9)”.

Si bien es cierto, en el artículo 20 de la constitución política de Colombia, establece que: “Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura”.

Según lo anterior, el ejercicio legítimo del derecho de libertad de expresión, tiene sus limitantes debido a que, en los casos de los medios de comunicación, en su ejercicio de informar, estos en ocasiones sobrepasan el límite de este derecho. A las personas afectadas se les debe permitir la rectificación con fines de proteger sus datos personales. Mediante esta rectificación, se pide a los medios una aclaración del error informativo cometido con respecto a una persona, puesto que es necesaria la aclaración del contenido real y veraz de la información. Según el principio de caducidad, la información desfavorable al titular debe ser retirada (10).

Mediante el derecho al olvido digital, se pretende establecer condiciones en las cuales los medios de información masiva puedan permitir la rectificación de la información inexacta de una persona, toda vez que, la información dada de manera errónea no tiene ningún beneficio de divulgación para la sociedad y por consiguiente es capaz de producir un daño real en la persona.

Por otro lado, el tiempo transcurrido de la información tiene una connotación importante, toda vez que, según la Corte Constitucional plantea que “Los datos tienen por su naturaleza misma una vigencia limitada en el tiempo la cual impone a los responsables o administradores de bancos de datos la obligación ineludible de una permanente actualización a fin de no poner en circulación perfiles de “personas virtuales” que afecten negativamente a sus titulares, vale decir, a las personas reales. De otra parte, es bien sabido que las sanciones o informaciones negativas acerca de una persona no tienen vocación de perennidad y, en consecuencia, después de algún tiempo tales personas son titulares de un verdadero derecho al olvido” (11)

Esta información con el paso de los años resulta alterada y pierde vínculo público, por lo que en diversas ocasiones es necesario su eliminación de la web. Por otra parte, una persona por causa de las redes no debe quedar atada a las condiciones de su pasado y aún menos cuando esta información no tenga ninguna implicación con respecto a los intereses actuales de la colectividad. La información en la web, con el tiempo pierde su finalidad por la cual fue registrada.

La información contenida en las redes, debe volver eventualmente, a la esfera de privacidad de cada quien. El hecho de que esta información personal permanezcan más de lo necesario en la web, no permite una ponderación del derecho al olvido digital. Con lo anteriormente dicho, debe haber un tiempo razonable de permanencia de la información.

Palermo plantea que la aplicación del derecho al olvido es “el justo interés de cada persona de no quedar expuesto en forma indeterminada al daño que impone a su honor y a su reputación la reiterada publicación de una noticia legítimamente divulgada en el pasado”(12).

Del mismo modo, la desindexación que deben realizar los encargados del tratamiento de datos o gestores de motor de búsqueda, la cual es el derecho a ser eliminado en los resultados de búsqueda, cuando se haga a través del nombre del titular que reclama el derecho.

Actualmente mediante resolución 1321 del 24 de enero de 2019, la Superintendencia de Industria y Comercio, realizó una solicitud a Facebook sobre regular respecto a la protección y privacidad de datos personales de los 31 millones de colombianos usuarios de esta red social. Esta debe ser cumplida por parte de Facebook dentro de los cuatro meses siguientes a la solicitud. Esta resolución en el considerando sexto se establece que:

“con sujeción a lo establecido en el artículo 21 de la Ley 1581 de 2012, le corresponde a la Superintendencia de industria y comercio (SIC) impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en esa ley. Adicionalmente, la SIC también puede ordenar las medidas que sean necesarias para hacer efectivo el derecho de habeas data”.

Esta orden es de carácter preventiva, por lo cual se puede observar el grado de preocupación e importancia sobre el tratamiento y uso de los datos personales redes sociales y servicios de la sociedad de la información equivalentes. Como Estado ya se están tomando medidas que contemplan dicha protección, pero, aun así, es necesaria la regulación completa de este derecho fundamental, y, mediante los mecanismos que ofrece el Estado se puede cumplir este cometido.

Uno de los retos que se plantea en este proyecto de Ley, es que el derecho al olvido digital produzca efectos más allá de la frontera de nuestro país, toda vez que, en casos específicos puede ser necesaria la desindexación a nivel mundial.

En este punto, es necesario recalcar la realidad que estamos viviendo con respecto al acceso ilimitado de datos personales, por lo tanto, en nuestro ordenamiento jurídico es preciso definir garantías para que los ciudadanos tengan la posibilidad de decisión respecto al uso y destino de la información que sobre ellos circula en las redes sociales y los servicios de la sociedad de la información.

Un factor clave para el desarrollo de este derecho es la concientización por parte del Estado, de que los datos personales que circulan en Internet, han de ser protegidos en la misma medida que se protegieron los datos personales a través de la Ley Estatutaria de protección de datos, toda vez que a través de la protección de los datos digitales se proporciona la salvaguarda de los derechos a la honra, el buen nombre e intimidad personal y familiar, dado que, exceso de datos usados de manera ilícita, produce la muerte pública en las personas afectadas.

Es ineludible la protección de este derecho, toda vez que, los ciudadanos deben tener no sólo acceso al conocimiento de sus datos en empresas pública o privadas, sino también en las redes, pero adicionalmente a controlar su propio flujo de información. Es una realidad que la información personal en redes es vista como “el nuevo petróleo de la internet y la nueva moneda del mundo digital” (13).

Por lo anteriormente dicho, regular e implementar herramientas de protección de datos personales en redes para el ciudadano, permite el fortalecimiento del Estado Social de Derecho y adicionalmente se crea un manejo responsable de los datos personales.

La Corte Constitucional mediante sentencia T-552 de 1997, planteó que toda persona tiene la potestad de poder exigir “el adecuado manejo de la información que el individuo decide exhibir a los otros” (14). Con la ausencia de norma expresa existe un abuso del imperio informático, teniendo en cuenta que ninguna persona controla su información personal en la web.

De manera concluyente, es necesario esclarecer que en nuestro ordenamiento jurídico hay un vacío, toda vez que, no existe norma alguna que regule y controle el flujo de información digital personal.

Este proyecto es necesario, en cuanto a que la información publicada en la web, debe cumplir con requisitos de adecuación, toda vez que, si los datos publicados en las redes son obsoletos, erróneos o falsos, afectan derechos como la honra el buen nombre y la intimidad personal y familiar.

Esta proyecto enmarca una preocupación nacional, sobre la protección al derecho fundamental del derecho al olvido digital. Si bien es cierto el mundo y la sociedad son cambiantes, por lo tanto, el derecho debe ir de la mano con los mismo, como legisladores debemos proporcionar la protección idónea, toda vez que el internet, así como crea beneficios, genera también peligros para la sociedad, los cuales deben ser resueltos utilizando los mecanismos que el Estado nos proporciona.

Por las anteriores razones, presento esta iniciativa a consideración del Congreso de la República.

De los Honorables Congresistas,

CARLOS ANDRÉS TRUJILLO GONZÁLEZ,  Senador de la República

(1) Sentencia T-502 de 2002, Magistrado ponente Dr. EDUARDO MONTEALEGRE LYNETT.

(2) N. LÓSING, Estado de derecho, seguridad jurídica y desarrollo económico, Pág. 279.file:///C:/Users/Maria%20Oliveros/Documents/Dialnet-EstadoDeDerechoSeguridadJuridicaYDesarrolloEconomi-1975583.pdf

(3) Ley Estatutaria 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales. Titulo II, articulo 4.

(4) Reglamento (UE) 2016/679 del parlamento europeo y del Consejo de 27 de abril de 2016. Diario Oficial de la Unión Europea. Considerando 4, Pág. 2

(5) Loi relative a L´lnformatique, aux fichiers et aux libertes, nº 78-17 de 6 de enero de 1978, J.O. 227, de 7 de enero de 1978. Dicha Ley entró en vigor para el sector público el 1 de noviembre de 1979, y para el sector privado el 1 de enero de 1980. Ver Informática. Leyes de Protección de dalas. Núm. 3. Servicio Central de Publicaciones. Madrid. 1983, p. 35-36.

(6) Corte Constitucional, Sala Plena. 26 de marzo de 2014, C 177/2014. MP Nilson Pinilla Pinilla.

(7) Castellano, Pere. (2013) El carácter relativo del derecho al olvido en la red y su relación con otros derechos, garantías e intereses legítimos. Editores Corredoira, Loreto; Cotino, Lorenzo (ed) Libertad de expresión e información en Internet: Amenazas y protección de los derechos personales. Centro de Estudios Políticos y Constitucionales. Madrid, España. pp. 451 – 474.

(8) https://donaciones.unicef.org.co/politica-proteccion-datos-personales

(9) Palazzi, Pablo Andrés. El Corpus Data en el Derecho Argentino

(10) Corte Constitucional Sentencia T-022 de 1993, M.P. Ciro Angarita Baron

(11) Corte Constitucional sentencia T-414 DE 1992, MP. Ciro Angarita Baron

(12) Palermo (2010) pág. 279 establece que el derecho al olvido “asegurar la protección del pasado de un sujeto permitiéndole oponerse a la exhumación de hechos que pertenecen a un episodio de su vida que el tiempo ha vuelto secreto”.

(13) Meglena Kuneva, European Consumer Commissioner, Roundtable: Keynote Speech (Bruselas, 31 de marzo, 2009), citada por Katitza Rodríguez-Pereda. Ponencia presentada en el I Seminario Euro-Iberoamericano de protección de datos: La protección de los menores, Cartagena, 26-28 de mayo de 2009.

(14) Sentencia T-552 de 1997. (consideración 2.1.). MP. Vladimiro Naranjo Mesa.

12Ago/19

Disposición 56-E/16, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP), que aprueba la Protección de datos personales. Bases de datos propias y de terceros. Entes públicos estatales y no estatales. Inscripción. Baja. Formularios. Su aprobación.

VISTO el Expediente EX-2016-00206907- -APN-DNPDP#MJ, la Ley n° 25.326 y su Decreto Reglamentario n° 1558 del 29 de noviembre de 2001, y

CONSIDERANDO:

Que por Disposición DNPDP nº 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley nº 25.326 y se aprobó el contenido del Formulario FA.01 de Inscripción de Archivos, Registros, Bases o Bancos de Datos Privados (Anexo I).

Que por Disposición DNPDP nº 3 del 4 de abril de 2005 se aprobaron los restantes formularios a utilizar ante el REGISTRO NACIONAL DE BASES DE DATOS dependientes de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que esta Dirección Nacional ha iniciado un proceso de revisión interna de los procedimientos registrales a efectos de hacerlos más eficientes y fortalecer su rol de autoridad de aplicación de la Ley n° 25.326.

Que mediante el Decreto n° 561 del 6 de abril de 2016, se aprobó la implementación del sistema de Gestión Documental Electrónica —GDE— como sistema integrado de caratulación, numeración, seguimiento y registración de movimientos de todas las actuaciones y expedientes del Sector Público Nacional.

Que resulta entonces necesario reemplazar el sistema informático del REGISTRO NACIONAL DE BASES DE DATOS por uno que se incorpore al mencionado sistema de Gestión Documental Electrónica.

Que en ese contexto, y tomando en consideración la experiencia acumulada por esta Dirección Nacional, se estima oportuno readecuar los formularios de inscripción del citado Registro, unificando los mismos a fin de facilitar los trámites a los responsables de tratamientos de datos personales obligados.

Que por consiguiente resulta necesario aprobar los formularios que se serán utilizados a partir de la implementación del nuevo sistema informático, así como también sus respectivos instructivos.

Que el valor de los formularios que se aprueban por el presente acto será oportunamente determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

Que hasta tanto se implemente el nuevo sistema informático, corresponde mantener la vigencia de los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/05 y 3/05.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley n° 25.326 y el artículo 29, inciso 5, apartado d) del Anexo I del Decreto nº 1558 del 29 de noviembre de 2001.

Por ello,

EL DIRECTOR NACIONAL

DE PROTECCION DE DATOS PERSONALES

DISPONE:

ARTÍCULO 1º

Apruébanse los Formularios FI-A “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FI-B “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FI-P “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470398-APN-DNPDP#MJ, IF-2016-01427512-APN- DNPDP#MJ y IF-2016-01427599-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 2º

Apruébanse los Formularios FR-A “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS” y FR-B “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, que como Anexo IF-2016-02470395-APN-DNPDP#MJ y IF-2016-01427721-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 3º

Apruébanse los Formularios FM-A “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FM-B “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FM-P “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470391-APN-DNPDP#MJ, IF-2016-01427798-APN- DNPDP#MJ y IF-2016-01427828-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 4º

Apruébase el Formulario FB “BAJA DE INSCRIPCIÓN” que como Anexo IF-2016-01428972-APN-DNPDP#MJ forma parte integrante del presente acto.

ARTÍCULO 5º

La implementación de los formularios aprobados por los artículos precedentes será dispuesta oportunamente en el mismo acto administrativo que apruebe la implementación del nuevo sistema informático y el correspondiente procedimiento registral, manteniéndose hasta entonces en vigencia los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/2005 y 3/2005.

ARTÍCULO 6º

El valor de los Formularios aprobados por la presente disposición será determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

ARTÍCULO 7º

Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

06Abr/19

Ley 21.096 de 5 de junio de 2018, que consagra el Derecho a Protección de los Datos Personales

Ley 21.096 de 5 de junio de 2018, que consagra el Derecho a Protección de los Datos Personales.
 
Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente proyecto de reforma constitucional, originado en moción de los Honorables senadores señores Felipe Harboe Bascuñán, Pedro Araya Guerrero y Ricardo Lagos Weber, y de los exsenadores señores Hernán Larraín Fernández y Eugenio Tuma Zedán.
 
    
Proyecto de reforma constitucional:
 
 
"Artículo único.-

Agrégase, en el numeral 4° del artículo 19 de la Constitución Política de la República, a continuación de la expresión "y su familia", lo siguiente: ", y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley".".
 
 
Y por cuanto he tenido a bien aprobarlo y sancionarlo;
por tanto promúlguese y llévese a efecto como Ley de la República.
 
Santiago, 5 de junio de 2018.-
 
SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República.-
Gonzalo Blumel Mac-Iver, Ministro Secretario General de la Presidencia.
    
Lo que transcribo a Ud. para su conocimiento.-
 
Saluda Atte. a Ud., Claudio Alvarado Andrade, Subsecretario General de la Presidencia.