Archivos de la etiqueta: Proyecto Ley Orgánica Protección Datos Personales

16May/21

Proyecto de Ley 121/000046, 19 de febrero de 2021

Proyecto de Ley 121/000046. Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. (Boletín Oficial de las Cortes Generales. Congreso de los Diputados. XIV Legislatura, 19 de febrero de 2021).

121/000046 Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

La Mesa de la Cámara, en su reunión del día de hoy, ha adoptado el acuerdo que se indica respecto del asunto de referencia.

(121) Proyecto de ley.

Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Acuerdo:

Encomendar Dictamen por el procedimiento de urgencia, conforme a los artículos 109 y 93 del Reglamento, a la Comisión de Interior. Asimismo, publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de ocho días hábiles, que finaliza el día 1 de marzo de 2021.

En ejecución de dicho acuerdo se ordena la publicación de conformidad con el artículo 97 del Reglamento de la Cámara.

Palacio del Congreso de los Diputados, 16 de febrero de 2021. P.D. El Secretario General del Congreso de los Diputados, Carlos Gutiérrez Vicén.

PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES TRATADOS PARA FINES DE PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y ENJUICIAMIENTO DE INFRACCIONES PENALES Y DE EJECUCIÓN DE SANCIONES PENALES

Exposición de motivos

I

La Unión Europea es un espacio en el que los estándares y las garantías de protección de los derechos de las personas físicas a la protección de los datos personales se encuentran en la vanguardia internacional y constituyen un referente mundial. El rápido desarrollo tecnológico, especialmente de Internet, así como la creciente globalización de la economía mundial y europea han hecho imprescindible abordar la reforma del marco jurídico de la protección de datos, al objeto de consolidar e incluso mejorar este elevado nivel de protección a través de la creación de un marco legislativo nuevo, adaptado a la realidad cambiante, al tiempo que sólido, coherente e integral. En definitiva, un entorno normativo para un mundo globalizado y digital.

En este sentido, la Comunicación de la Comisión Europea «Un enfoque global de la protección de los datos personales en la Unión Europea», de 4 de noviembre de 2010, precedida de un intenso periodo de consultas durante más de dos años con los Estados miembros, el público en general, así como con los distintos sectores afectados, sentó las bases de lo que sería esta nueva perspectiva normativa.

El marco normativo resultante consta, principalmente, de dos instrumentos: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que sustituye a una norma vigente desde hacía más de veinte años, y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

En nuestro ordenamiento jurídico, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, adaptó el Reglamento General de Protección de Datos, en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.

II

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, objeto de transposición por esta ley orgánica, deroga la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, que había sido superada por varias razones.

En primer lugar, se trataba de una norma previa al Tratado de Lisboa que requería de su oportuna adaptación a los nuevos Tratados, en particular, al artículo 16 del Tratado de Funcionamiento de la Unión Europea, que exige que el Consejo y el Parlamento Europeo, a través del procedimiento legislativo ordinario, regulen la protección de los datos personales.

En segundo término, la decisión marco se aprobó conforme a la estructura de pilares de la Unión Europea, previa al Tratado de Lisboa, por lo que contaba con un ámbito de aplicación limitado exclusivamente al tratamiento de datos personales de carácter transfronterizo entre los Estados miembros, sin alcanzar, por tanto, a los tratamientos de carácter estrictamente nacional.

Asimismo, otorgaba una amplísima capacidad de maniobra a los Estados miembros, sin asegurar un nivel mínimo de armonización deseable en determinados ámbitos, como el reconocimiento en todos los Estados del derecho de acceso de los interesados a sus propios datos, el principio del tratamiento de los datos para fines determinados o las condiciones para las transferencias internacionales.

En definitiva, la fragmentación y complejidad de la regulación en este campo perjudicaba la necesaria confianza entre los actores de la cooperación policial y judicial penal en Europa, quienes mostraban recelos a compartir información, entre otros motivos, por la ausencia de una mínima armonización en cuanto a la protección de los datos de carácter personal; unos datos que resultan esenciales en el terreno de la cooperación operativa.

III

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, subsana estas deficiencias, ampliando su ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de la cooperación policial y judicial penal. Toda vez que cubre otras carencias de la normativa europea anterior, dado que incluye la regulación de los datos genéticos —que reclamaba el Tribunal Europeo de Derechos Humanos—, así como la distinción entre los datos personales según su grado de exactitud y fiabilidad, o la diferenciación entre distintas categorías de interesados.

Resulta pertinente poner de relieve que la citada directiva que transpone esta ley orgánica se aprobó como respuesta a las crecientes amenazas para la seguridad en el contexto nacional e internacional, que tienen, en numerosos casos, un componente transfronterizo. Por esta razón, la cooperación internacional y la transmisión de información de carácter personal entre los servicios policiales y judiciales de los países implicados se convierten en un objetivo ineludible. En efecto, los atentados terroristas de Nueva York en 2001 supusieron un punto de inflexión en la necesidad de reforzar la cooperación judicial y policial en la lucha contra el terrorismo, como volvería a ponerse de manifiesto con ocasión de los atentados de Bruselas y Niza en 2016.

La cooperación encaminada a compartir a tiempo la información operativa precisa se erige en un requisito de eficacia en la prevención y lucha contra este tipo de amenazas. Todo ello, teniendo en cuenta el estado de la técnica, que permite, en la actualidad, tratamientos de datos a gran escala en el ámbito de la seguridad.

Este intercambio de información debe realizarse, en todo caso, de manera que se garanticen los principios democráticos y la seguridad de las personas a lo largo de las fases del tratamiento.

En consecuencia, esta ley orgánica asume la finalidad de lograr un elevado nivel de protección de los derechos de la ciudadanía, en general, y de sus datos personales, en particular, que resulte homologable al del resto de los Estados miembros de la Unión Europea, incorporando y concretando las reglas que establece la directiva.

En este sentido, la Constitución española fue precursora del reconocimiento y la defensa del derecho fundamental a la protección de datos personales. Así, el artículo 18.4 de nuestra norma fundamental dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de la ciudadanía y el pleno ejercicio de sus derechos. El Tribunal Constitucional, en reiterada jurisprudencia, entiende la protección de datos como un derecho fundamental que garantiza a toda persona la capacidad de controlar el uso y destino de sus datos, con el propósito de evitar el tráfico ilícito o lesivo de los mismos o una utilización para fines distintos de los que justificaron su obtención.

Por todo ello, la transposición de esta directiva por los Estados miembros supone el establecimiento de un marco jurídico consistente, que proporciona la seguridad jurídica necesaria para facilitar la cooperación policial y judicial penal y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y de nuestro sistema judicial penal en su conjunto, incluido el penitenciario.

IV

Esta ley orgánica consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición derogatoria y diez disposiciones finales.

El capítulo I, relativo a las disposiciones generales, define el objeto de la ley orgánica, entendiéndose como la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que, a efectos de esta ley orgánica, tengan la consideración de autoridades competentes.

La finalidad principal es que los datos sean tratados por estas autoridades competentes de manera que se cumplan los fines prevenidos a la par que establecer los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de forma que se cumpla lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.

Asimismo, en correspondencia con lo que dispone el artículo 22.6 de la Ley Orgánica 3/2018, de 5 de diciembre, cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en este ley orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta ley orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos. De este modo, se establece un nuevo sistema que gira en torno a las obligaciones de los responsables del tratamiento y a las distintas misiones que se les asignan.

Aunque se deben excluir con carácter general, se incluyen igualmente algunas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la precitada Ley Orgánica 3/2018, de 5 de diciembre.

Las autoridades competentes, a efectos de esta ley orgánica, se definen como autoridades públicas con competencias legalmente encomendadas para la consecución de los fines específicos incluidos en el ámbito de aplicación. En concreto, se determina que serán autoridades competentes: las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Todo ello, sin perjuicio de que los tratamientos que se lleven a cabo por los órganos jurisdiccionales se rijan por lo dispuesto en esta ley orgánica, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales penales.

Se excluyen expresamente del ámbito de aplicación ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los cubiertos por la ley orgánica; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común; los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea; y los sometidos a la normativa sobre materias clasificadas. Entre estos últimos se mencionan los tratamientos relativos a la Defensa Nacional, así como los tratamientos incluidos en ficheros clasificados relativos a la lucha contra el terrorismo y las formas graves de delincuencia organizada; para estos últimos se establecen, no obstante, unos requisitos específicos dirigidos a incrementar la protección de los derechos de los interesados.

El capítulo II se refiere a los principios de protección de datos cuya garantía corresponde al responsable del tratamiento. Estos principios se regulan en términos similares a lo establecido en el Reglamento General de Protección de Datos, con algunas especialidades propias del ámbito de esta ley orgánica.

Se incluye un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Todo ello, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Esta última precisión resulta fundamental para evitar que la puesta de la información a disposición del interesado pueda poner en peligro los fines que, de acuerdo con la directiva y esta ley orgánica, justifican el tratamiento de los datos.

Se regulan, también, los plazos de conservación y de revisión de los datos de carácter personal tratados, siendo relevante el establecimiento de un plazo máximo de conservación de los datos con carácter general y la implantación de un sistema que permite al responsable revisar, en el plazo que el mismo establezca dentro del margen legal, la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de sus actividades de tratamiento. El responsable deberá, en sus tratamientos, distinguir los datos que correspondan a las diversas categorías de interesados, tales como los sospechosos, los condenados o los sancionados, las víctimas o los terceros involucrados, así como diferenciar, en la medida de lo posible, si los datos que trata son datos basados en hechos o en apreciaciones.

Se exigen igualmente ciertas condiciones que determinan la licitud de todo tratamiento de datos de carácter personal, esto es, que sean tratados por las autoridades competentes; que resulten necesarios para los fines de esta ley orgánica y que, en caso necesario y en cada ámbito particular, se especifiquen las especialidades por una norma con rango de ley que incluya unos contenidos mínimos.

En el supuesto de transmisión de datos sujetos a condiciones específicas de tratamiento, dichas condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos para los que fueron transmitidos.

De igual modo, se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones.

Los datos biométricos (como las huellas dactilares o la imagen facial) sólo se consideran incluidos en esta categoría especial cuando su tratamiento está dirigido a identificar de manera unívoca a una persona física. Esta necesidad de identificación en las actuaciones amparadas legalmente se lleva a cabo, con frecuencia, por las distintas autoridades competentes. El propósito es singularizar los autores o partícipes de infracciones penales, así como poder reconocer si son las personas que se supone o se busca, y de esta forma, atribuir o exonerar, sin género de dudas, la participación en determinados hechos, gracias a posibles indicios o vestigios biométricos.

Habida cuenta de la vertiginosa evolución tecnológica y los medios electrónicos de los que se dispone, se incluye la habilitación legal que facilite una respuesta rápida y adecuada en el uso de estos datos, con el objetivo final de garantizar y proteger los derechos de los interesados y de la ciudadanía en general.

Se prohíbe, igualmente, la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley del ordenamiento jurídico español o europeo.

El capítulo III, se divide en dos secciones y aborda los derechos de las personas. Regula una serie de condiciones generales del ejercicio de los derechos, tales como la obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se establece la información que debe ponerse a disposición del interesado, siendo algunos datos obligatorios, en todo caso, y otros en casos concretos.

Se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento. En virtud de tales derechos se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos o estos datos deban conservarse únicamente a efectos probatorios.

Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados casos, a través de la autoridad de protección de datos.

Dispone esta ley orgánica que estos derechos pueden ser restringidos por ciertas causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional.

Se establece, en su sección segunda, un régimen especial de derechos de los interesados en el marco de investigaciones y procesos penales.

El capítulo IV recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos, a lo largo de tres secciones. El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas.

El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable, debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.

Todo responsable y encargado del tratamiento deberá conservar un registro de actividades de tratamiento, con datos identificativos, tales como los datos de contacto del responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y las transferencias de los datos personales entre otras operaciones.

Asimismo, están obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación vigente.

Se establecen ciertas obligaciones que responden a un nuevo modelo de responsabilidad activa que exige una valoración previa del riesgo que pudiera generar el tratamiento de los datos de carácter personal para los interesados, para, a partir de dicha valoración, adoptar las medidas que procedan.

Se presta una atención detallada a la seguridad del tratamiento, regulándose alguna de las medidas de seguridad que se aplicarán, si bien solo se dispone como obligatoria la puesta en marcha del citado registro de operaciones como medida técnica y organizativa, siendo las demás las que el responsable determine como las más adecuadas para lograr el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y del nivel de riesgo que se estime, tras el correspondiente análisis. Se impone, asimismo, el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad que, con carácter general, deberá ser notificada al interesado, salvo en supuestos expresamente previstos en la ley.

El delegado de protección de datos se configura como el órgano o figura de asesoramiento y supervisión de los responsables de protección de datos, que podrá ser único para varias autoridades competentes y cuya designación será obligatoria salvo en relación con los tratamientos de datos con fines jurisdiccionales. En el caso de que se dispongan tratamientos que queden bajo distintos ámbitos de aplicación, con el fin de evitar disfunciones en las organizaciones de las autoridades competentes, se establece que la figura del delegado de protección de datos será única para todos ellos.

El capítulo V regula las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea u otra organización internacional y se establecen las condiciones que deberán cumplirse para que éstas sean lícitas.

Así, con el fin de garantizar que no se menoscabe el nivel de protección de las personas físicas previsto en esta ley orgánica, la transferencia respetará ciertas condiciones previstas en la misma. De este modo, sólo deben realizarse cuando sean necesarias para los fines de esta ley orgánica y cuando el responsable del tratamiento en el tercer país u organización internacional sea autoridad competente en relación a dichos fines.

Asimismo, cuando el dato se transfiere a un tercer país o a una organización internacional, la autoridad competente del Estado miembro en el que se obtuvo el dato, debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a otro tercer país o a una organización internacional. En cuanto al tercer país u organización internacional destinatario de la trasferencia, deberá ser objeto de evaluación por la Comisión Europea a la vista de su nivel de protección de datos o, en caso de ausencia de decisión, debe entenderse por el responsable del tratamiento que ofrece garantías adecuadas. Sólo por las causas excepcionales previstas en esta ley orgánica se podrán autorizar transferencias fuera de estos supuestos.

Este capítulo finaliza con la regulación de la transferencia internacional de datos personales a destinatarios que, no siendo autoridades competentes, están establecidos en terceros países.

El capítulo VI, relativo a las autoridades de protección de datos, dispone que dichas autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos, en sus respectivos ámbitos competenciales. Asimismo, la ley orgánica recoge sus potestades, funciones y la asistencia entre autoridades de protección de datos de los Estados miembros. Se remite en lo restante a la normativa que les resulte de aplicación.

El capítulo VII prevé que los procedimientos de reclamación que se planteen ante las autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, o, en su caso, por la normativa reguladora de la autoridad de protección de datos correspondiente. Se refiere a aquellos supuestos en que los responsables o encargados del tratamiento, o de la autoridad de protección de datos, en su caso, incumplan esta ley orgánica y generen un daño o lesión en los bienes o derechos del interesado.

Este capítulo, además, aborda la responsabilidad de los responsables o encargados del tratamiento o de la autoridad de protección de datos, en su caso, cuando incumplan esta ley orgánica y se genere un daño o lesión en los bienes o derechos de un interesado. De igual modo, se detalla la forma de ejercer el derecho a la tutela judicial efectiva ante la jurisdicción contencioso-administrativa contra las decisiones de una autoridad de protección de datos que puedan entenderse que conciernen a los interesados.

Finalmente, el capítulo VIII regula el régimen sancionador específico aplicable ante incumplimientos de las obligaciones previstas en esta ley orgánica. Se definen los sujetos sobre los que recaerá la responsabilidad por las infracciones cometidas. Se determinan las reglas del concurso de normas para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más de ellas. Al tiempo que se tipifican las infracciones, que, en función de su gravedad, podrán ser leves, graves o muy graves.

Por último, se establecen las sanciones que se pueden imponer, y se fijan los plazos de prescripción tanto de las infracciones como de las sanciones y de caducidad.

Las disposiciones adicionales se refieren a regímenes específicos, al intercambio de datos dentro de la Unión Europea, a los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, y a los tratamientos que se efectúen en relación con los ficheros y al registro de Población de las Administraciones Públicas.

Las disposiciones finales introducen las modificaciones necesarias en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, para adecuarla a las previsiones de esta ley orgánica en relación con los tratamientos para ejecución de la pena; en la Ley Orgánica 3/2018, de 5 de diciembre; en la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves en correspondencia con determinadas obligaciones de los operadores; en la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte; en la Ley 5/2014, de 4 de abril, de Seguridad Privada para adecuar, en ambos casos, los plazos de caducidad de los expedientes sancionadores; y en el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre, para dar soporte legal específico a las matriculaciones por razones de Seguridad Nacional.

En la elaboración de esta ley orgánica se han observado los principios de necesidad, eficacia,

proporcionalidad, seguridad jurídica, transparencia y eficiencia, exigidos por el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

En primer lugar, se trata de una norma necesaria, dado que la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, exige una ley de carácter orgánico, al afectar la norma comunitaria a un derecho fundamental reconocido en el artículo 18 de la Constitución y por imperativo del artículo 81 de la misma. En este sentido, el artículo 18.4 de la Constitución dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de la ciudadanía y el pleno ejercicio de sus derechos.

Esta ley orgánica, además, incorpora a nuestro ordenamiento interno los instrumentos que permitirán una eficaz protección de los datos de las personas físicas frente a su tratamiento por parte de las autoridades competentes con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

Por lo que respecta al principio de seguridad jurídica, en razón de la materia objeto de regulación, la transposición de la directiva se realiza mediante una ley orgánica, cuya tramitación e integración en el ordenamiento jurídico goza de las garantías que amparan las normas de esta naturaleza.

En cuanto al principio de proporcionalidad, esta ley orgánica contempla un importante número de garantías orientadas a que el tratamiento de datos personales sea proporcional, oportuno, mínimo y suficiente para el cumplimiento de los fines que se persiguen. En particular, su tratamiento se sujeta a los principios que rigen el tratamiento de datos personales, por lo que se exige que no sean tratados para otros fines distintos de los establecidos en la norma, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por nuestro Derecho interno. Cuando los datos personales sean tratados para otros fines que no sean los de la prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, se aplicará el Reglamento General de Protección de Datos, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.

Se cumple, también, el principio de transparencia, puesto que esta norma ha sido sometida a los correspondientes trámites de participación pública, esto es, el de consulta pública previa y el de audiencia e información pública.

En la tramitación de esta ley orgánica, además de los diversos Ministerios concernidos por razón de la materia, han emitido informe la Agencia Española de Protección de Datos; la Agencia Vasca de Protección de Datos; la Autoridad Catalana de Protección de Datos; el Consejo Fiscal; el Consejo General del Poder Judicial; los Departamentos de Seguridad Pública del Gobierno Vasco y de Interior de la Generalidad de Cataluña; y finalmente el Consejo de Estado. Se trata, por tanto, de un texto en el cual se han incorporado las consideraciones de órganos tan relevantes como los expuestos.

Por último, esta ley orgánica se dicta al amparo de las reglas 1.ª, 6.ª, 18.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; sobre legislación penal, penitenciaria y procesal; respecto a las bases del régimen jurídico de las Administraciones Públicas, el procedimiento administrativo común y en relación al sistema de responsabilidad de todas las Administraciones públicas; y en materia de seguridad pública.

CAPÍTULO I. Disposiciones generales

Artículo 1. Objeto.

Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

Artículo 2. Ámbito de aplicación.

1. Será de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas las protección y prevención frente a las amenazas contra la seguridad pública.

2. El tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal. Las autoridades de protección de datos a las que se refiere el capítulo VI no serán competentes para controlar estas operaciones de tratamiento.

3. Quedan fuera del ámbito de aplicación de esta ley orgánica los siguientes tratamientos de datos personales:

a) Los realizados por las autoridades competentes para fines distintos de los previstos en el artículo 1, incluidos los fines de archivo por razones de interés público, investigación científica e histórica o estadísticos. Estos tratamientos se someterán plenamente a lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

b) Los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito de aplicación del capítulo II del título V del Tratado de la Unión Europea.

c) Los tratamientos que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.

d) Los relativos a la Defensa Nacional.

e) Los sometidos a la normativa sobre materias clasificadas, entre los que se encuentran los tratamientos relativos a la lucha contra el terrorismo y a las formas graves de delincuencia organizada.

A las actividades de tratamiento en materia de lucha contra el terrorismo y las formas graves de delincuencia organizada, no les será de aplicación ni el Reglamento General de Protección de Datos, ni la Ley Orgánica 3/2018, de 5 de diciembre, sino que estarán sujetos a lo dispuesto en la citada normativa sobre materias clasificadas y seguridad de la información. No obstante, en estos supuestos, el responsable del tratamiento comunicará previamente a la Autoridad de protección de datos competente, la actividad de tratamiento que se llevará a cabo, sus fines, las categorías de datos tratados, las categorías de interesados y destinatarios, las categorías de transferencias internacionales de datos personales y la elaboración de perfiles, en su caso, así como los elementos esenciales relativos a las medidas de seguridad.

4. Esta ley orgánica no se aplicará a los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo siguiente.

Artículo 3. Datos de personas fallecidas.

1. Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso, rectificación o supresión de los datos de aquel, de acuerdo con lo dispuesto en esta ley orgánica.

2. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona interesada.

3. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el apartado anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Artículo 4. Autoridades competentes.

1. Será autoridad competente, a los efectos de esta ley orgánica, toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales con alguno de los fines previstos en el artículo 1.

En particular, tendrán esa consideración, en el ámbito de sus respectivas competencias, las siguientes autoridades:

a) Las Fuerzas y Cuerpos de Seguridad.

b) Las Administraciones Penitenciarias.

c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.

d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

2. También tendrán consideración de autoridades competentes las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.

Artículo 5. Definiciones.

A efectos de esta ley orgánica se entenderá por:

a) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

b) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

c) «limitación del tratamiento»: el marcado de los datos personales conservados con el fin de limitar su tratamiento en el futuro;

d) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

e) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

f) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o dispersado de forma funcional o geográfica;

g) «autoridad competente»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública; o cualquier otro órgano o entidad a quien en nuestro ordenamiento jurídico haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

h) «responsable del tratamiento» o «responsable»: la autoridad competente que sola o conjuntamente con otras, determine los fines y medios del tratamiento de datos personales;

i) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

j) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerará destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el ordenamiento jurídico interno o de la Unión; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

k) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma;

l) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona física de que se trate;

m) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o de conducta de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

n) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

ñ) «autoridad de control»: una autoridad pública independiente, como la Agencia Española de Protección de Datos y las Agencias autonómicas;

o) «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

CAPÍTULO II. Principios, licitud del tratamiento y videovigilancia

Sección 1.ª. Principios y licitud del tratamiento

Artículo 6. Principios relativos al tratamiento de datos personales.

1. Los datos personales serán:

a) Tratados de manera lícita y leal.

b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.

c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.

d) Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación indebida, los datos personales que sean inexactos con respecto a los fines para los que son tratados.

e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.

f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas.

2. Los datos personales recogidos por las autoridades competentes no serán tratados para otros fines distintos de los establecidos en el artículo 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por la legislación española. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.

3. Los datos personales podrán ser tratados por el mismo responsable o por otro, para fines establecidos en el artículo 1 distintos de aquel para el que hayan sido recogidos, en la medida en que concurran cumulativamente las dos circunstancias siguientes:

a) Que el responsable del tratamiento sea competente para tratar los datos para ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española.

b) Que el tratamiento sea necesario y proporcionado para la consecución de ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española.

4. El tratamiento por el mismo responsable o por otro podrá incluir el archivo por razones de interés público, y el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, con sujeción a las garantías adecuadas para los derechos y libertades de los interesados.

5. El responsable del tratamiento deberá garantizar y estar en condiciones de demostrar el cumplimiento de lo establecido en este artículo.

Artículo 7. Deber de colaboración.

1. Las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas. La petición de la policía judicial deberá ser concreta y específica.

La comunicación de datos, informes, antecedentes y justificantes por la Administración tributaria, la Administración de la Seguridad Social y la Inspección de Trabajo y Seguridad Social, se efectuará de acuerdo con su legislación respectiva.

2. En los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que éstos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. La petición de la autoridad competente deberá ser concreta y específica y contener la motivación que acredite su relación con los indicados supuestos.

3. No será de aplicación lo dispuesto en los apartados anteriores cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1.

4. En los supuestos contemplados en los apartados anteriores, el interesado no será informado de la transmisión de sus datos a las autoridades competentes, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, a fin de garantizar la actividad investigadora.

Con el mismo propósito, los sujetos a los que el ordenamiento jurídico imponga un deber específico de colaboración con las autoridades competentes para el cumplimiento de los fines establecidos en el artículo 1, no informarán al interesado de la transmisión de sus datos a dichas autoridades, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, en cumplimiento de sus obligaciones específicas.

Artículo 8. Plazos de conservación y revisión.

1. El responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1.

2. El responsable del tratamiento deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, como máximo cada tres años. Si es posible, se hará mediante el tratamiento automatizado apropiado. El plazo máximo de conservación será de 20 años.

Artículo 9. Distinción entre categorías de interesados.

El responsable del tratamiento, en la medida de lo posible, establecerá entre los datos personales de las distintas categorías de interesados, distinciones tales como:

a) Personas respecto de las cuales existan motivos fundados para presumir que hayan cometido, puedan cometer o colaborar en la comisión de una infracción penal.

b) Personas condenadas o sancionadas por una infracción penal.

c) Víctimas o afectados por una infracción penal o que puedan serlo.

d) Terceros involucrados en una infracción penal o un tratamiento comprendido en la letra a), como son, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones o procesos penales ulteriores, personas que puedan facilitar información sobre dichas infracciones, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).

Artículo 10. Verificación de la calidad de los datos personales.

1. El responsable del tratamiento, en la medida de lo posible, establecerá una distinción entre los datos personales basados en hechos y los basados en apreciaciones personales.

2. Las autoridades competentes adoptarán todas las medidas razonables para garantizar que los datos personales que sean inexactos, incompletos o no estén actualizados, no se transmitan ni se pongan a disposición de terceros. En toda transmisión de datos se trasladará al mismo tiempo la valoración de su calidad, exactitud y actualización.

En la medida de lo posible, en todas las transmisiones de datos personales se añadirá la información necesaria para que la autoridad competente receptora pueda valorar hasta qué punto son exactos, completos y fiables, y en qué medida están actualizados. Igualmente, la autoridad competente transmisora controlará la calidad de los datos personales antes de transmitirlos o ponerlos a disposición de terceros.

3. Si se observara que los datos personales transmitidos son incorrectos o que se han transmitido ilegalmente, estas circunstancias se pondrán en conocimiento del destinatario sin dilación indebida. En tal caso, los datos deberán rectificarse o suprimirse, o el tratamiento deberá limitarse de conformidad con lo previsto en el artículo 23.

Artículo 11. Licitud del tratamiento.

1. El tratamiento sólo será lícito en la medida en que sea necesario para los fines señalados en el artículo 1 y se realice por una autoridad competente en ejercicio de sus funciones.

2. Cualquier ley que regule tratamientos de datos personales para los fines incluidos dentro del ámbito de aplicación de esta ley orgánica deberá indicar, al menos, los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento.

Artículo 12. Condiciones específicas de tratamiento.

1. Cuando el Derecho de la Unión Europea o la legislación española prevea condiciones específicas aplicables al tratamiento, la autoridad competente transmitente deberá informar al destinatario al que se transmitan los datos, de dichas condiciones y de la obligación de respetarlas.

2. Las condiciones específicas de tratamiento podrán ser, entre otras, la prohibición de transmisión de datos o de su utilización para fines distintos para los que fueron transmitidos o, en caso de limitación del derecho a la información, la prohibición de dar información al interesado sin la autorización previa de la autoridad transmisora.

3. La autoridad competente transmitente no aplicará a los destinatarios de otros Estados miembros de la Unión Europea o de organismos, agencias y órganos establecidos en virtud de los capítulos 4 y 5 del título V de la tercera parte del Tratado de Funcionamiento de la Unión Europea, condiciones distintas de las aplicables a las transmisiones de datos similares dentro de España.

Artículo 13. Tratamiento de categorías especiales de datos personales.

1. El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, sólo se permitirá cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado y cuando se cumplan alguna de las siguientes circunstancias:

a) Se encuentre previsto por una norma con rango de ley o por el Derecho de la Unión Europea.

b) Resulte necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona física.

c) Dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

2. Las autoridades competentes, en el marco de sus respectivas funciones y competencias, podrán tratar datos biométricos dirigidos a identificar de manera unívoca a una persona física con los fines de prevención, investigación, detección de infracciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

3. Los datos de los menores de edad y de las personas con capacidad modificada judicialmente o que estén incursas en procesos de dicha naturaleza, se tratarán garantizando el interés superior de los mismos y con el nivel de seguridad adecuado.

Artículo 14. Mecanismo de decisión individual automatizado.

1. Están prohibidas las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o que le afecten significativamente, salvo que se autorice expresamente por una norma con rango de ley o por el Derecho de la Unión Europea. La norma habilitante del tratamiento deberá establecer las medidas adecuadas para salvaguardar los derechos y libertades del interesado, incluyendo el derecho a obtener la intervención humana en el proceso de revisión de la decisión adoptada.

2. Las decisiones a las que se refiere el apartado anterior no se basarán en las categorías especiales de datos personales contempladas en el artículo 13, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

3. Queda prohibida la elaboración de perfiles que dé lugar a una discriminación de las personas físicas sobre la base de categorías especiales de datos personales establecidas en el artículo 13.

Sección 2.ª. Tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad

Artículo 15. Sistemas de grabación de imágenes y sonido por las Fuerzas y Cuerpos de Seguridad.

1. La captación, reproducción y tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad en los términos previstos en esta ley orgánica, así como las actividades preparatorias, no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y familiar y a la propia imagen, a los efectos de lo establecido en el artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. En la instalación de sistemas de grabación de imágenes y sonidos se tendrán en cuenta, conforme al principio de proporcionalidad, los siguientes criterios: asegurar la protección de los edificios e instalaciones propias; asegurar la protección de edificios e instalaciones públicas y de sus accesos que estén bajo custodia; salvaguardar y proteger las instalaciones útiles para la seguridad nacional; prevenir, detectar o investigar la comisión de infracciones penales y la protección y prevención frente a las amenazas contra la seguridad pública.

3. En el caso de que dicha utilización se realice por las Unidades de Policía Judicial se estará a lo dispuesto en la Ley de Enjuiciamiento Criminal y en su normativa de aplicación. En los supuestos de uso destinados al control, regulación, vigilancia y disciplina del tráfico, se llevará a cabo conforme a la normativa específica en la materia.

Artículo 16. Instalación de sistemas fijos.

1. En las vías o lugares públicos donde se instalen videocámaras fijas, el responsable del tratamiento deberá realizar una valoración del citado principio de proporcionalidad en su doble versión de idoneidad e intervención mínima. Asimismo, llevar a cabo un análisis de los riesgos o una evaluación de impacto de protección de datos relativo al tratamiento que se pretenda llevar a cabo, en función del nivel de perjuicio que se pueda derivar para la ciudadanía y de la finalidad perseguida.

2. Esta disposición se aplicará asimismo cuando las Fuerzas y Cuerpos de Seguridad utilicen instalaciones fijas de videocámaras de las que no sean titulares y exista, por su parte, un control y dirección efectiva del proceso completo de tratamiento.

3. Estas instalaciones fijas de videocámaras no estarán sujetas al control preventivo de las entidades locales previsto en su legislación reguladora básica, ni al ejercicio de las competencias de las diferentes Administraciones públicas, sin perjuicio de que deban respetar los principios de la legislación vigente en cada ámbito material de la actuación administrativa.

4. Los propietarios y, en su caso, los titulares de derechos reales sobre los bienes afectados por estas instalaciones, o quienes los posean por cualquier título, están obligados a facilitar y permitir su instalación y mantenimiento, sin perjuicio de las indemnizaciones que procedan.

5. El público será informado de manera clara y permanente de la existencia de estas videocámaras fijas, sin especificar su emplazamiento, así como de la autoridad responsable del tratamiento ante la que poder ejercer sus derechos.

Artículo 17. Dispositivos móviles.

cumplimiento de los fines previstos en esta ley orgánica, conforme a las competencias específicas de las Fuerzas y Cuerpos de Seguridad. La toma de imagen y sonido, que ha de ser conjunta, queda supeditada, en todo caso, a la concurrencia de un peligro o evento concreto. El uso de los dispositivos móviles deberá estar autorizado por la persona titular de la Delegación o Subdelegación del Gobierno, quien atenderá a la naturaleza de los eventuales hechos susceptibles de filmación, adecuando la utilización de dichos dispositivos a los principios de tratamiento y al de proporcionalidad.

En el caso de los Cuerpos de Policía propios de las comunidades autónomas que tengan y ejerzan competencias asumidas para la protección de las personas y bienes y para el mantenimiento del orden público, serán sus órganos correspondientes los que autorizarán este tipo de actuaciones para sus fuerzas policiales, así como para las dependientes de las Corporaciones locales radicadas en su territorio.

2. En estos supuestos de dispositivos móviles, las autorizaciones no se podrán conceder en ningún caso con carácter indefinido o permanente, siendo otorgadas por el plazo adecuado a la naturaleza y las circunstancias derivadas del peligro o evento concreto, por un periodo máximo de un mes prorrogable por otro.

3. En casos de urgencia o necesidad inaplazable será el responsable operativo de las Fuerzas y Cuerpos de Seguridad competentes el que podrá determinar su uso, siendo comunicada tal actuación con la mayor brevedad posible, y siempre en el plazo de 24 horas, al Delegado o Subdelegado del Gobierno o autoridad competente de las comunidades autónomas.

Artículo 18. Tratamiento y conservación de las imágenes.

1. Realizada la filmación de acuerdo con los requisitos establecidos en esta ley orgánica, si la grabación captara la comisión de hechos que pudieran ser constitutivos de infracciones penales, las Fuerzas y Cuerpos de Seguridad pondrán la cinta o soporte original de las imágenes y sonidos en su integridad, a disposición judicial a la mayor brevedad posible y, en todo caso, en el plazo máximo de setenta y dos horas desde su grabación. De no poder redactarse el atestado en tal plazo, se relatarán verbalmente los hechos a la autoridad judicial, o al Ministerio Fiscal, junto con la entrega de la grabación.

2. Si se captaran hechos que pudieran ser constitutivos de infracciones administrativas relacionadas con la seguridad pública, se remitirán al órgano competente, de inmediato, para el inicio del oportuno procedimiento sancionador.

3. Las grabaciones serán destruidas en el plazo máximo de tres meses desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto.

Artículo 19. Régimen disciplinario.

1. Sin perjuicio de las responsabilidades penales en las que pudieran incurrir, las infracciones a lo dispuesto en esta ley orgánica por los miembros de las Fuerzas y Cuerpos de Seguridad, serán sancionadas con arreglo al régimen disciplinario correspondiente a los infractores y, en su defecto, con sujeción al régimen general de sanciones en materia de protección de datos de carácter personal establecido en esta ley orgánica.

2. Se considerarán faltas muy graves en el régimen disciplinario de las Fuerzas y Cuerpos de Seguridad del Estado, las siguientes infracciones:

a) Alterar o manipular los registros de imágenes y sonidos, siempre que no constituya delito.

b) Permitir el acceso de personas no autorizadas a las imágenes y sonidos grabados o utilizar  éstos para fines distintos de los previstos legalmente.

c) Reproducir las imágenes y sonidos para fines distintos de los previstos en esta ley orgánica.

d) Utilizar los medios técnicos regulados en esta ley orgánica para fines distintos de los  previstos en la misma.

CAPÍTULO III. Derechos de las personas

Sección 1.ª. Régimen general

Artículo 20. Condiciones generales de ejercicio de los derechos de los interesados.

1. El responsable del tratamiento deberá facilitar al interesado, de forma concisa, inteligible, de fácil acceso y con lenguaje claro y sencillo para todas las personas, incluidas aquellas con discapacidad, toda la información contemplada en el artículo 21, así como la derivada de los artículos 14, 22 a 26 y 39.

Además, el responsable del tratamiento deberá adoptar las medidas necesarias para garantizar al interesado el ejercicio de sus derechos a los que se refieren los artículos 14 y 22 a 26.

2. El interesado, con capacidad de obrar, podrá actuar en su propio nombre y representación o por medio de representantes, de acuerdo con lo previsto en la normativa sobre el procedimiento administrativo común de las Administraciones Públicas.

3. La información será facilitada por cualquier medio adecuado, incluidos los medios electrónicos, procurando utilizar el mismo medio empleado en la solicitud.

4. El responsable del tratamiento informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud. La solicitud se entenderá desestimada si transcurrido un mes desde su presentación no ha sido resuelta expresamente y notificada al interesado.

5. La información a la que se refiere el apartado 1 se facilitará gratuitamente. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo, el responsable del tratamiento podrá inadmitirlas a trámite, mediante resolución motivada.

El responsable del tratamiento deberá demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

En todo caso se considerará que la solicitud es repetitiva cuando se realicen tres solicitudes sobre el mismo supuesto durante el plazo de seis meses, salvo que exista causa legítima para ello.

6. Cuando el responsable del tratamiento tenga dudas razonables acerca de la identidad de la persona física que formula la solicitud a la que se refieren los artículos 22 y 23, le requerirá para que facilite la información complementaria que resulte necesaria para confirmar su identidad en el plazo de diez días. Transcurrido dicho plazo sin que se aporte la información, se le tendrá por desistido de su petición mediante resolución motivada. El plazo de diez días comenzará a contar desde la fecha en que el interesado facilite la información solicitada.

Artículo 21. Información que debe ponerse a disposición del interesado.

1. El responsable del tratamiento de los datos pondrá a disposición del interesado, al menos, la siguiente información:

a) La identificación del responsable del tratamiento y sus datos de contacto.

b) Los datos de contacto del delegado de protección de datos, en su caso.

c) Los fines del tratamiento a los que se destinen los datos personales.

d) El derecho a presentar una reclamación ante la autoridad de protección de datos competente y los datos de contacto de la misma.

e) El derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, supresión o la limitación de su tratamiento.

2. Además de la información a la que se refiere el apartado 1, atendiendo a las circunstancias del caso concreto, el responsable del tratamiento proporcionará al interesado la siguiente información adicional para permitir el ejercicio de sus derechos:

a) La base jurídica del tratamiento.

b) El plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo.

c) Las categorías de destinatarios de los datos personales, cuando corresponda, en particular, los establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) Cualquier otra información necesaria, en especial, cuando los datos personales se hayan recogido sin conocimiento del interesado.

Artículo 22. Derecho de acceso del interesado a sus datos personales.

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el interesado tendrá derecho a acceder a dichos datos personales, así como a la siguiente información:

a) Los fines y la base jurídica del tratamiento.

b) Las categorías de datos personales de que se trate.

c) Los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales, en particular, los destinatarios establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) El plazo de conservación de los datos personales, cuando sea posible, o, en caso contrario, los criterios utilizados para determinar dicho plazo.

e) La existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales relativos al interesado o la limitación de su tratamiento.

f) El derecho a presentar una reclamación ante la autoridad de protección de datos competente y los datos de contacto de la misma.

g) La comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen, sin revelar la identidad de ninguna persona física, en especial en el caso de fuentes confidenciales.

2. Cuando el responsable trate una gran cantidad de información relativa al interesado y éste ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá requerir al interesado que concrete la solicitud en el plazo de diez días.

3. Se entenderá concedido el derecho de acceso si el responsable del tratamiento facilita al interesado un sistema remoto, directo y seguro que garantice, de modo permanente, el acceso a la totalidad de sus datos personales. La notificación informando al interesado del procedimiento puesto en marcha a través de este sistema, permitirá denegar su solicitud de acceso efectuada por otras vías.

Si el acceso remoto no facilita la totalidad de la información contenida en el apartado 1, el interesado tendrá derecho a solicitarla.

4. Cuando el interesado elija un medio distinto al que se le ofrece que suponga un coste

desproporcionado, la solicitud será considerada excesiva, por lo que dicho interesado asumirá el exceso de coste que su elección comporte. En este caso, sólo será exigible al responsable del tratamiento que la satisfacción del derecho de acceso a través del medio propuesto se produzca sin dilaciones indebidas. Si el interesado no asumiera el exceso de coste, se le facilitará el acceso por el medio inicialmente propuesto por el responsable del tratamiento.

Artículo 23. Derechos de rectificación, supresión de datos personales y limitación de su tratamiento.

1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales que le conciernen, cuando tales datos resulten inexactos.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales cuando éstos resulten incompletos.

El interesado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa del carácter incompleto o inexacto de los datos objeto de tratamiento.

2. El responsable del tratamiento, a iniciativa propia o como consecuencia del ejercicio del derecho de supresión del interesado, suprimirá los datos personales sin dilación indebida y, en todo caso, en el plazo máximo de un mes a contar desde que tenga conocimiento, cuando el tratamiento infrinja los artículos 6, 11 o 13, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto.

3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando se dé alguna de las siguientes circunstancias:

a) El interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud.

b) Los datos personales hayan de conservarse a efectos probatorios.

Cuando el tratamiento esté limitado en virtud de la letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.

4. En caso de que el responsable del tratamiento rectifique unos datos personales inexactos que provengan de otra autoridad competente, se deberá comunicar a ésta la rectificación.

5. Cuando los datos personales hayan sido rectificados o suprimidos o el tratamiento haya sido limitado, el responsable del tratamiento lo notificará a los destinatarios, que deberán rectificar o suprimir los datos personales que estén bajo su responsabilidad o limitar su tratamiento.

Artículo 24. Restricciones a los derechos de información, acceso, rectificación, supresión de datos personales y a la limitación de su tratamiento.

1. El responsable del tratamiento podrá aplazar, limitar u omitir la información a la que se refiere el artículo 21.2, así como denegar, total o parcialmente, las solicitudes de ejercicio de los derechos contemplados en los artículos 22 y 23, siempre que, teniendo en cuenta los derechos fundamentales y los intereses legítimos de la persona afectada, resulte necesario y proporcional para la consecución de los siguientes fines:

a) Impedir que se obstaculicen indagaciones, investigaciones o procedimientos judiciales.

b) Evitar que se cause perjuicio a la prevención, detección, investigación y enjuiciamiento de infracciones penales o a la ejecución de sanciones penales.

c) Proteger la seguridad pública.

d) Proteger la Seguridad Nacional.

e) Proteger los derechos y libertades de otras personas.

2. En caso de restricción de los derechos contemplados en los artículos 22 y 23, el responsable del tratamiento informará por escrito al interesado sin dilación indebida, y en todo caso, en el plazo de un mes a contar desde que tenga conocimiento, de dicha restricción, de las razones de la misma, así como de las posibilidades de presentar una reclamación ante la autoridad de protección de datos, sin perjuicio de las restantes acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta ley orgánica.

Las razones de la restricción podrán ser omitidas o ser sustituidas por una redacción neutra cuando la revelación de los motivos de la restricción pueda poner en riesgo los fines a los que se refiere el apartado anterior.

3. El responsable del tratamiento documentará los fundamentos de hecho o de derecho en los que se sustente la decisión denegatoria del ejercicio del derecho de acceso. Dicha información estará a disposición de las autoridades de protección de datos.

Artículo 25. Ejercicio de los derechos del interesado a través de la autoridad de protección de datos.

1. En los casos en que se produzca un aplazamiento, limitación u omisión de la información a que se refiere el artículo 21 o una restricción del ejercicio de los derechos contemplados en los artículos 22 y 23, en los términos previstos en el artículo 24, el interesado podrá ejercer sus derechos a través de la autoridad de protección de datos competente. El responsable del tratamiento informará al interesado de esta posibilidad.

2. Cuando, en virtud de lo establecido en el apartado anterior, se ejerciten los derechos a través de la autoridad de protección de datos, ésta deberá informar al interesado, al menos, de la realización de todas las comprobaciones necesarias o la revisión correspondiente y de su derecho a interponer recurso contencioso-administrativo.

Sección 2.ª. Régimen especial

Artículo 26. Derechos de los interesados como consecuencia de investigaciones y procesos penales.

1. El ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento a los que se hace referencia en los artículos anteriores se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial, o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales.

2. Cuando los datos sean objeto de un tratamiento con fines jurisdiccionales del que sea responsable un órgano del orden jurisdiccional penal, el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se realizará de conformidad con lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas procesales.

3. En defecto de regulación del ejercicio de estos derechos en dichas normas, se aplicará lo dispuesto en esta ley orgánica.

CAPÍTULO IV. Responsable y encargado de tratamiento

Sección 1.ª Obligaciones generales

Artículo 27. Obligaciones del responsable del tratamiento.

1. El responsable del tratamiento, tomando en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento se lleve a cabo de acuerdo con esta ley orgánica y con lo previsto en la legislación sectorial y en sus normas de desarrollo. Tales medidas se revisarán y actualizarán cuando resulte necesario.

2. Entre las medidas mencionadas en el apartado anterior se incluirá la aplicación de las oportunas políticas de protección de datos, cuando sean proporcionadas en relación con las actividades de tratamiento.

Artículo 28. Protección de datos desde el diseño y por defecto.

1. En el momento de determinar los medios para el tratamiento, así como en el momento del tratamiento propiamente dicho, deberán aplicarse las medidas técnicas y organizativas que resulten apropiadas conforme al estado de la técnica y el coste de la aplicación, la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas. El objetivo será salvaguardar los principios de protección de datos de forma efectiva, al tiempo que integrar las garantías necesarias en el tratamiento. Entre estas medidas técnicas, se podrá adoptar la seudonimización de los datos personales a los efectos de contribuir a la aplicación de los principios establecidos en esta ley orgánica, en particular, el de minimización de datos personales.

2. Además, las medidas técnicas y organizativas deberán garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que resulten necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad.

Tales medidas garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas sin intervención humana.

Artículo 29. Supuestos de corresponsabilidad en el tratamiento.

1. Cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento serán considerados corresponsables del tratamiento.

2. Salvo que las responsabilidades hayan sido previstas por el Derecho de la Unión Europea o por la legislación española, los corresponsables del tratamiento establecerán, de modo transparente y de mutuo acuerdo, a través del instrumento oportuno, sus respectivas responsabilidades en el cumplimiento de esta ley orgánica, en particular, en lo referido al ejercicio de los derechos del interesado y a sus respectivas obligaciones en el suministro de la información contemplada en el artículo 21.

El citado acuerdo designará el punto de contacto para los interesados, a menos que venga ya determinado legalmente.

La concreción de las responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.

Artículo 30. Encargado del tratamiento.

1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, éste recurrirá únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de esta ley orgánica y garantice la protección de los derechos del interesado.

El encargado podrá ser una persona física o jurídica, de naturaleza privada o pública.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito del responsable del tratamiento. El encargado informará siempre al responsable de cualquier cambio previsto referido a la adición o sustitución de otros encargados, pudiendo el responsable oponerse a dichos cambios.

3. El tratamiento por medio de un encargado se regirá por un contrato, convenio u otro instrumento jurídico que corresponda, por escrito, incluyendo la posibilidad del formato electrónico, concluido con arreglo al Derecho de la Unión Europea o a la legislación española. Dicho instrumento jurídico vinculará al encargado con el responsable y fijará el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.

El instrumento jurídico estipulará, en particular, que el encargado del tratamiento deberá:

a) Actuar únicamente siguiendo las instrucciones del responsable del tratamiento.

b) Garantizar, a través del instrumento o sistema oportuno, que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de secreto o confidencialidad.

c) Asistir al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado.

d) Suprimir o devolver, a elección del responsable del tratamiento, todos los datos personales al responsable del tratamiento, una vez finalice la prestación de los servicios de tratamiento, así como suprimir las copias existentes, a menos que el Derecho de la Unión Europea o la legislación española requieran la conservación de los datos personales.

e) Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de estas obligaciones.

f) Respetar las condiciones indicadas en este apartado y en el apartado 2 para contratar a otro encargado del tratamiento.

4. Si un encargado del tratamiento determinase los fines y medios de dicho tratamiento, infringiendo esta ley orgánica, será considerado responsable con respecto a ese tratamiento.

5. El encargado del tratamiento se regirá, en lo no previsto por esta ley orgánica, por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre.

Artículo 31. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.

El encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, sólo podrá someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión Europea o por la legislación española.

Artículo 32. Registros de las actividades de tratamiento.

1. Cada responsable debe conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. Dicho registro deberá contener la información siguiente:

a) La identificación del responsable del tratamiento y sus datos de contacto, así como del corresponsable y del delegado de protección de datos.

b) Los fines del tratamiento.

c) Las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) La descripción de las categorías de interesados y de las categorías de datos personales.

e) El recurso a la elaboración de perfiles, en su caso.

f) Las categorías de transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso.

g) La indicación de la base jurídica del tratamiento, así como, en su caso, las transferencias internacionales de las que van a ser objeto los datos personales.

h) Los plazos previstos para la supresión de las diferentes categorías de datos personales, cuando sea posible.

i) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.

2. Cada encargado del tratamiento llevará un registro de todas las actividades de tratamiento de datos personales efectuadas en nombre de un responsable. Este registro contendrá la información siguiente:

a) El nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, en su caso, del delegado de protección de datos.

b) Las categorías de tratamientos efectuados en nombre de cada responsable.

c) Las transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso, incluida la identificación de dicho Estado o de dicha organización internacional cuando el responsable del tratamiento así lo ordene explícitamente.

d) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.

3. Los registros referidos en este artículo se establecerán y llevarán por escrito, incluida la posibilidad del formato electrónico.

Estos registros estarán a disposición de la autoridad de protección de datos competente, a solicitud de ésta, de conformidad con lo dispuesto legalmente.

4. Los responsables de los tratamientos harán público el registro de sus actividades de tratamiento, accesible por medios electrónicos, en el que constará la información a la que se refiere el apartado 1.

Artículo 33. Registro de operaciones.

1. Los responsables y encargados del tratamiento deberán mantener registros de, al menos, las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión. Los registros de consulta y comunicación harán posible determinar la justificación, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó los datos personales, así como la identidad de los destinatarios de dichos datos personales.

2. Estos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y de las políticas de protección de datos, garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales.

Dichos registros estarán a disposición de la autoridad de protección de datos competente a solicitud de ésta, de conformidad con lo dispuesto legalmente.

Artículo 34. Cooperación con las autoridades de protección de datos.

El responsable y el encargado del tratamiento cooperarán con la autoridad de protección de datos competente, en el marco de la legislación vigente, cuando ésta lo solicite en el desempeño de sus funciones.

Artículo 35. Evaluación de impacto relativa a la protección de datos.

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, suponga por su naturaleza, alcance, contexto o fines, un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales.

2. La evaluación incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos peligros, así como las medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a demostrar su conformidad con esta ley orgánica. Esta evaluación tendrá en cuenta los derechos e intereses legítimos de los interesados y de las demás personas afectadas.

3. Las autoridades de protección de datos podrán establecer una lista de tratamientos que estén sujetos a la realización de una evaluación de impacto con arreglo a lo dispuesto en el apartado anterior y, del mismo modo, podrán establecer una lista de tratamientos que no estén sujetos a esta obligación.

Ambas listas tendrán un carácter meramente orientativo.

Artículo 36. Consulta previa a la autoridad de protección de datos.

1. El responsable o el encargado del tratamiento consultará a la autoridad de protección de datos, antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero, en cualquiera de las siguientes circunstancias:

a) Cuando la evaluación del impacto en la protección de los datos indique que el tratamiento entrañaría un alto nivel de riesgo, a falta de medidas adoptadas por el responsable para mitigar el riesgo o los posibles daños.

b) Cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos.

2. La autoridad de protección de datos correspondiente podrá establecer una lista de carácter orientativo, de las operaciones de tratamiento sujetas a consulta previa, con arreglo a lo dispuesto en el apartado anterior.

3. El responsable del tratamiento facilitará a la autoridad de protección de datos competente, la evaluación de impacto contemplada en el artículo 35 y, previa solicitud, cualquier información adicional que permita a dicha autoridad de protección de datos evaluar la conformidad del tratamiento y, más concretamente, el nivel de riesgo para la protección de los datos personales del interesado y las garantías correspondientes.

4. Cuando la autoridad de protección de datos considere que el tratamiento previsto en el apartado 1 pudiera infringir lo dispuesto en esta ley orgánica deberá, en un plazo de seis semanas desde la solicitud de la consulta, asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, en especial, cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el peligro o el nivel de riesgo. Asimismo, la autoridad de protección de datos podrá ejercer cualquiera de sus potestades de investigación, corrección o consulta.

Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. La autoridad de protección de datos informará al responsable y, en su caso, al encargado acerca de la prórroga, en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.

En caso de no contestar a la consulta en el plazo previsto, se estará a lo dispuesto en el artículo 80.3 de la Ley 39/2015, de 1 de octubre.

Sección 2.ª. Seguridad de los datos personales

Artículo 37. Seguridad del tratamiento.

1. El responsable y el encargado del tratamiento, teniendo en cuenta el estado de la técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, especialmente en lo relativo al tratamiento de las categorías de datos personales a las que se refiere el artículo 13. En particular, deberán aplicar a los tratamientos de datos personales las medidas incluidas en el Esquema Nacional de Seguridad.

2. Por lo que respecta al tratamiento automatizado, el responsable o encargado del tratamiento, a raíz de una evaluación de los riesgos, pondrá en práctica medidas de control con el siguiente propósito:

a) En el control de acceso a los equipamientos, denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento.

b) En el control de los soportes de datos, impedir que éstos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas.

c) En el control del almacenamiento, impedir que se introduzcan sin autorización datos personales, o que éstos puedan inspeccionarse, modificarse o suprimirse sin autorización.

d) En el control de los usuarios, impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos.

e) En el control del acceso a los datos, garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado, sólo puedan tener acceso a los datos personales para los que han sido autorizados.

f) En el control de la transmisión, garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse, o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos.

g) En el control de la introducción, garantizar que pueda verificarse y constatarse, a posteriori, qué datos personales se han introducido en los sistemas de tratamiento automatizado, en qué momento y quién los ha introducido.

h) En el control del transporte, impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización.

i) En el control de restablecimiento, garantizar que los sistemas instalados puedan restablecerse en caso de interrupción.

j) En el control de fiabilidad e integridad, garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema.

Artículo 38. Notificación a la autoridad de protección de datos de una violación de la seguridad de los datos personales.

1. Cualquier violación de la seguridad de los datos personales será notificada por el responsable del tratamiento a la autoridad de protección de datos competente, a menos que sea improbable que la violación de la seguridad de los datos personales constituya un peligro para los derechos y las libertades de las personas físicas.

La notificación deberá realizarse en el plazo de las setenta y dos horas siguientes al momento en que se haya tenido constancia de ella. En caso contrario, deberá ir acompañada de los motivos de la dilación.

2. El encargado del tratamiento notificará, sin dilación indebida, al responsable del tratamiento, las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) Referir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas, así como las categorías y el número aproximado de registros de datos personales afectados por la violación de la seguridad.

b) Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Detallar las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, se podrá facilitar de forma progresiva, a medida que se disponga de ella.

5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas.

Dicha documentación estará a disposición de la autoridad de protección de datos competente al objeto de verificar el cumplimiento de lo dispuesto en este artículo.

6. Cuando la violación de la seguridad de los datos personales afecte a datos que hayan sido transmitidos por el responsable del tratamiento o al responsable del tratamiento de otro Estado miembro de la Unión Europea, la información recogida en el apartado 3 se comunicará al responsable del tratamiento de dicho Estado.

7. Todas las actividades relacionadas en este artículo se realizarán sin dilaciones indebidas.

Artículo 39. Comunicación de una violación de la seguridad de los datos personales al interesado.

1. Cuando existan indicios de que una violación de la seguridad de los datos personales supondría un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará al interesado, sin dilación indebida, la violación de la seguridad de los datos personales.

2. La comunicación al interesado describirá con lenguaje claro, sencillo y accesible conforme a sus circunstancias y capacidades, la naturaleza de la violación de la seguridad de los datos personales y contendrá, al menos, la información y las medidas a las que se refiere el artículo 38.3. b), c) y d).

3. No se efectuará la comunicación al interesado que prevé el apartado 1 cuando se cumpla alguna de las condiciones siguientes:

a) Que el responsable del tratamiento haya adoptado medidas apropiadas de protección técnica y organizativa y dichas medidas se hayan aplicado a los datos personales afectados por la violación de la seguridad antes de la misma, en particular, aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como en el caso del cifrado.

b) Que el responsable del tratamiento haya tomado medidas ulteriores para garantizar que no se materialice el alto nivel de riesgo para los derechos y libertades del interesado a que hace referencia el apartado 1.

c) Que suponga un esfuerzo desproporcionado, en cuyo caso, se optará por su publicación en el boletín oficial correspondiente, en la sede electrónica del responsable del tratamiento o en otro canal oficial que permita una comunicación efectiva con el interesado.

4. En el supuesto de que el responsable del tratamiento no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de protección de datos competente, una vez valorada la existencia de un alto nivel de riesgo, podrá exigirle que proceda a dicha comunicación, o bien que determine la concurrencia de alguna de las condiciones previstas en el apartado 3.

5. La comunicación al interesado referida en el apartado 1 podrá aplazarse, limitarse u omitirse con sujeción a las condiciones y por los motivos previstos en el artículo 24.

Sección 3.ª. Delegado de protección de datos

Artículo 40. Designación del delegado de protección de datos.

1. Los responsables del tratamiento designarán, en todo caso, un delegado de protección de datos.

No estarán obligados a designarlo los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos personales se realice en el ejercicio de sus funciones jurisdiccionales.

2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales.

En concreto, se tendrán en cuenta sus conocimientos especializados en legislación, su experiencia en materia de protección de datos y su capacidad para desempeñar las funciones a las que se refiere el artículo 42. En el caso de estar designado un delegado de protección de datos al amparo del Reglamento General de Protección de Datos, este será el que asumirá las funciones de delegado de protección de datos previstas en esta ley orgánica.

3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes, teniendo en cuenta la estructura organizativa y el tamaño de éstas.

4. Los responsables del tratamiento publicarán los datos de contacto del delegado de protección de datos y comunicarán a la autoridad de protección de datos competente su designación y cese, en el plazo de diez días desde que se haya producido.

Artículo 41. Posición del delegado de protección de datos.

1. El responsable del tratamiento velará por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestiones relativas a la protección de datos personales, al tiempo que cuidará de que mantenga sus conocimientos especializados, cuente con los recursos necesarios para el desempeño de sus funciones y acceda a los datos personales y a las operaciones de tratamiento.

2. El delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio.

Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitar cualquier conflicto de intereses.

3. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento. La existencia de cualquier deber de confidencialidad o secreto, no permitirá que el responsable o el encargado del tratamiento se oponga a dicho acceso.

4. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de dirección del responsable o del encargado del tratamiento.

Artículo 42. Funciones del delegado de protección de datos.

El responsable del tratamiento encomendará al delegado de protección de datos, al menos, las siguientes funciones:

a) Informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo, acerca de las obligaciones que les incumben en virtud de esta ley orgánica y de otras disposiciones de protección de datos aplicables.

b) Supervisar el cumplimiento de lo dispuesto en esta ley orgánica y en otras disposiciones de protección de datos aplicables, así como de lo establecido en las políticas del responsable del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participe en las operaciones de tratamiento y las auditorías correspondientes.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.

d) Cooperar con la autoridad de protección de datos en los términos de la legislación vigente.

e) Actuar como punto de contacto de la autoridad de protección de datos para las cuestiones relacionadas con el tratamiento, incluida la consulta previa referida en el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

CAPÍTULO V. Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales

Artículo 43. Principios generales de las transferencias de datos personales.

1. Al objeto de garantizar el nivel de protección de las personas físicas previsto en esta ley orgánica, cualquier transferencia de datos personales realizada por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea o a otra organización internacional, deberá cumplir las siguientes condiciones:

a) Que la transferencia sea necesaria para los fines establecidos en el artículo 1.

b) Que los datos personales sean transferidos a un responsable del tratamiento competente para los fines mencionados en el artículo 1.

c) Que, en caso de que los datos personales hayan sido transferidos a la autoridad competente española procedentes de otro Estado miembro de la Unión Europea, dicho Estado miembro autorice previamente la transferencia ulterior de conformidad con su Derecho nacional.

d) Que la Comisión Europea haya adoptado una decisión de adecuación de acuerdo con el artículo 44 o, a falta de dicha decisión, cuando se hayan aportado o existan garantías apropiadas de conformidad con el artículo 45 o, a falta de ambas, cuando resulten de aplicación las excepciones para situaciones específicas de acuerdo con el artículo 46.

e) Cuando se trate de una transferencia ulterior a un Estado que no sea miembro de la Unión Europea u organización internacional, de datos transferidos inicialmente por una autoridad competente española, ésta autorizará la transferencia ulterior, una vez considerados todos los factores pertinentes, entre éstos, la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos personales y el nivel de protección existente en ese Estado u organización internacional a los que se transfieran ulteriormente los datos personales.

2. Las transferencias de datos personales por las autoridades españolas sin autorización previa de otro Estado miembro, conforme al párrafo 1c), sólo se permitirán si la transferencia de datos personales resulta necesaria para prevenir una amenaza inmediata y grave para la seguridad pública, tanto de un Estado miembro de la Unión Europea como no perteneciente a la misma, o para los intereses fundamentales de un Estado miembro de la Unión Europea, y cuando la autorización previa no pueda conseguirse a su debido tiempo.

Las autoridades españolas informarán sin dilación a la autoridad responsable de conceder la autorización previa, y en todo caso en el plazo máximo de diez días a contar desde que se haya producido la transferencia.

3. Se impulsará el establecimiento de mecanismos de cooperación internacional y de asistencia mutua, se fomentará el intercambio de normativa y de buenas prácticas con los Estados que no sean miembros de la Unión Europea y con las organizaciones internacionales, de manera que se facilite la aplicación efectiva de la legislación sobre la protección de datos personales, incluido en el ámbito de la resolución de conflictos jurisdiccionales, procurando la participación de todas las partes interesadas.

Artículo 44. Transferencias basadas en una decisión de adecuación.

1. Cuando la Comisión Europea, mediante una decisión de adecuación, haya decidido que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o la organización internacional de que se trate, garantizan un nivel de protección adecuado, podrán realizarse transferencias de datos personales a ese Estado u organización internacional. Dichas transferencias no requerirán ninguna autorización específica.

2. Toda decisión de adecuación de la Comisión Europea que determine que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o una organización internacional ha dejado de garantizar un nivel de protección adecuado, se entenderá sin perjuicio de las transferencias de datos personales a dicho Estado, territorio o sector del mismo o a la organización internacional de que se trate, en virtud de los artículos 45 y 46.

Artículo 45. Transferencias mediante garantías apropiadas.

1. En ausencia de una decisión de adecuación de la Comisión Europea conforme al artículo 44 podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando concurra alguna de las siguientes circunstancias:

a) Se hayan aportado garantías apropiadas respecto a la protección de datos personales en un instrumento jurídicamente vinculante.

b) Se hayan evaluado, por parte del responsable del tratamiento, todas las circunstancias que concurren en la transferencia de datos personales y se haya concluido que existen garantías apropiadas respecto a la protección de datos personales.

2. El responsable del tratamiento informará a la autoridad de protección de datos competente acerca de las categorías de transferencias a tenor del párrafo 1.b).

3. Cuando las transferencias se basen en lo dispuesto en el párrafo 1.b) deberán documentarse. La documentación se pondrá a disposición de la autoridad de protección de datos competente, previa solicitud, con inclusión de la siguiente información: fecha, hora de la transferencia, información sobre la autoridad competente destinataria, justificación de la transferencia y datos personales transferidos.

Artículo 46. Excepciones para situaciones específicas.

1. En ausencia de una decisión de adecuación de la Comisión Europea o de garantías apropiadas de acuerdo con los artículos 44 y 45, podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando la transferencia sea necesaria por concurrir alguna de las siguientes circunstancias:

a) Para proteger los intereses vitales o los derechos y libertades fundamentales del interesado o de otra persona.

b) Para salvaguardar intereses legítimos del interesado reconocidos por la legislación española.

c) Para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado, tanto miembro de la Unión Europea como no perteneciente a la misma.

d) En casos individuales, a efectos del artículo 1.

e) Para el ejercicio, en un caso individual, de acciones legales o para la defensa frente a ellas en relación con los fines incluidos en el artículo 1.

2. Los datos personales no se transferirán, si la autoridad competente de la transferencia determina que los derechos y libertades fundamentales del interesado prevalecen sobre el interés público en la transferencia, establecido en las letras d) y e) del apartado anterior.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse. Esta documentación quedará a disposición de la autoridad de protección de datos competente, con inclusión de la fecha y la hora de la transferencia, la información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

Artículo 47. Transferencias directas de datos personales a destinatarios, que no sean autoridades competentes, establecidos en Estados no pertenecientes a la Unión Europea.

1. Excepcionalmente, en casos particulares y específicos y sin perjuicio de la existencia de un acuerdo internacional entre España y un Estado que no sea miembro de la Unión Europea en el ámbito de la cooperación judicial penal o de la cooperación policial, las autoridades competentes españolas podrán transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las disposiciones de esta ley orgánica y se satisfagan todas las condiciones siguientes:

a) Que la transferencia sea estrictamente necesaria para la realización de una función de la autoridad competente que lleva a cabo la transferencia conforme al Derecho de la Unión Europea o a la legislación española, con cualquiera de los fines del artículo 1.

b) Que la autoridad competente que realiza la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado son superiores al interés público que precise de la transferencia de que se trate.

c) Que la autoridad competente que realiza la transferencia considere que la transferencia a una autoridad competente del Estado en el que está establecido el destinatario, con cualquiera de los fines del artículo 1, resultaría ineficaz o inadecuada, en particular porque la transferencia no pueda efectuarse dentro de plazo.

d) Que se informe sin dilación indebida a la autoridad competente para los fines que contempla el artículo 1 de dicho Estado, salvo que esto resulte ineficaz o inadecuado.

e) Que la autoridad competente que realiza la transferencia informe al destinatario de la finalidad o finalidades específicas para las que puede tratar los datos personales, siempre y cuando dicho tratamiento sea necesario.

2. La autoridad competente que realiza la transferencia informará a la autoridad de protección de datos competente acerca de las transferencias efectuadas a tenor de este artículo.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse.

CAPÍTULO VI. Autoridades de Protección de Datos Independientes

Artículo 48. Autoridades de protección de datos.

 A los efectos de esta ley orgánica son autoridades de protección de datos independientes:

a) La Agencia Española de Protección de Datos.

b) Las autoridades autonómicas de protección de datos, exclusivamente en relación a aquellos tratamientos de los que sean responsables en su ámbito de competencia, y conforme a lo dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018, de 5 de diciembre.

Dichas autoridades se regirán por esta ley orgánica respecto de los tratamientos sometidos a la misma, y por lo establecido en el Título VII de la Ley Orgánica 3/2018, de 5 de diciembre, y en sus normas de creación, así como por lo que establezcan sus normas de desarrollo.

La Agencia Española de Protección de Datos actuará como representante de las autoridades de protección de datos en el Comité Europeo de Protección de Datos.

Artículo 49. Funciones.

1. Las autoridades de protección de datos ejercerán, respecto de los tratamientos sometidos a esta ley orgánica, las siguientes funciones:

a) Supervisar y hacer cumplir las disposiciones adoptadas con arreglo a esta ley orgánica.

b) Promover la sensibilización y la comprensión del público acerca de los riesgos, normas, garantías y derechos relativos al tratamiento.

c) Asesorar a las Cortes Generales, al Gobierno de la Nación y a los organismos dependientes o vinculados a la Administración General del Estado, así como, de acuerdo con su ámbito competencial, a las Asambleas Legislativas de las comunidades autónomas, los Consejos de Gobierno y los organismos dependientes o vinculados a la Administración de las comunidades autónomas, acerca de las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

d) Promover la sensibilización de los responsables y encargados del tratamiento en relación con las obligaciones que les incumben.

e) Facilitar la información solicitada por los interesados sobre el ejercicio de sus derechos en virtud de esta ley orgánica y, en su caso, cooperar a tal fin con las autoridades de protección de datos de otros Estados miembros de la Unión Europea.

f) Tramitar y responder las reclamaciones presentadas por un interesado o por una entidad, organización o asociación de conformidad con el artículo 55, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.

g) Controlar, de acuerdo con lo dispuesto en el artículo 25, la licitud del tratamiento e informar al interesado en un plazo razonable sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo.

h) Cooperar, en particular compartiendo información, con otras autoridades de protección de datos y prestarse asistencia mutua.

i) Llevar a cabo investigaciones sobre la aplicación de esta ley orgánica, en particular basándose en la información recibida de otra autoridad de protección de datos u otra autoridad pública.

j) Realizar un seguimiento de acontecimientos que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, de manera concreta sobre el desarrollo de las tecnologías de la información y la comunicación.

k) Prestar asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36.

l) Contribuir a las actividades del Comité Europeo de Protección de Datos.

m) Informar todas las disposiciones legales o reglamentarias que afecten a tratamientos sometidos a esta ley orgánica.

2. Las autoridades de protección de datos adoptarán medidas tendentes a facilitar la formulación de las reclamaciones incluidas en el párrafo 1f), tales como proporcionar formularios que puedan cumplimentarse electrónicamente, sin excluir otros medios.

3. El desempeño de las funciones de las autoridades de control no implicará coste alguno para el interesado ni para el delegado de protección de datos.

4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de protección de datos podrá negarse a actuar respecto de la solicitud. La carga de la demostración del carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de protección de datos.

Artículo 50. Potestades.

Las autoridades de protección de datos tendrán atribuidas, en el ámbito de esta ley orgánica, las siguientes potestades:

a) De investigación, incluyendo el acceso a todos los datos que estén siendo tratados por el responsable o el encargado del tratamiento, en los términos previstos por la legislación vigente.

b) De advertencia y control de lo exigido en esta ley orgánica, incluida la sanción de las infracciones cometidas, la elaboración de recomendaciones, órdenes de rectificación, supresión o limitación del tratamiento de datos personales o de limitación temporal o definitiva del tratamiento, incluida su prohibición, así como la orden a los responsables del tratamiento de comunicar las vulneraciones de seguridad de los datos a los interesados.

c) De asesoramiento, que comprende la consulta previa prevista en el artículo 36 y la emisión, por propia iniciativa o previa solicitud, de dictámenes destinados a las Cortes Generales o al Gobierno, a otras instituciones u organismos, así como al público en general, acerca de todo asunto relacionado con la protección de datos personales sujeto a esta ley orgánica.

Artículo 51. Asistencia entre autoridades de protección de datos de los Estados miembros de la Unión Europea.

1. Las autoridades de protección de datos españolas facilitarán la asistencia y cooperación necesaria a las autoridades de protección de datos de otros Estados miembros de la Unión Europea, debiendo responder a las solicitudes de éstas sin dilación indebida, y en cualquier caso, en el plazo máximo de un mes desde su recepción. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, así como las solicitudes para llevar a cabo consultas, inspecciones e investigaciones.

2. Las autoridades de protección de datos españolas podrán solicitar, en el ejercicio de sus funciones, la asistencia y cooperación de las autoridades de protección de datos de otros Estados miembros de la Unión Europea.

Las solicitudes deberán contener toda la información necesaria para su contestación, incluidos los motivos y la finalidad de la solicitud. La información intercambiada se utilizará únicamente para el fin para el que haya sido solicitada.

3. Las contestaciones de las autoridades de protección de datos españolas deberán indicar los resultados obtenidos o las medidas adoptadas con base en la solicitud recibida. Estas respuestas serán remitidas en formato electrónico, en la medida de lo posible.

4. La solicitud de asistencia procedente de una autoridad de protección de datos de un Estado miembro de la Unión Europea únicamente podrá negarse a ser atendida, de manera motivada, cuando la autoridad de protección de datos española no sea competente respecto al objeto o a las medidas solicitadas, o bien cuando el hecho de atender la solicitud vulnere la legislación española o el Derecho de la Unión Europea. Se informará, en su caso, de la restricción de los derechos del interesado adoptada en aplicación del artículo 24.

5. Las medidas adoptadas con ocasión de una solicitud de asistencia mutua serán gratuitas, sin perjuicio de que en circunstancias excepcionales puedan pactarse indemnizaciones por gastos específicos derivados de la prestación de la asistencia.

CAPÍTULO VII. Reclamaciones

Artículo 52. Régimen aplicable a los procedimientos tramitados ante las autoridades de protección de datos.

1. En el caso de que los interesados aprecien que el tratamiento de los datos personales haya infringido las disposiciones de esta ley orgánica o no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 21, 22 y 23 tendrán derecho a presentar una reclamación ante la autoridad de protección de datos.

2. Dichas reclamaciones serán tramitadas por la autoridad de protección de datos competente con sujeción al procedimiento establecido en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, y, en su caso, a la legislación de las comunidades autónomas que resulte de aplicación.

3. Tales procedimientos tramitados por la autoridad de protección de datos competente se regirán por lo dispuesto en el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018, de 5 de diciembre, y las disposiciones reglamentarias dictadas en su desarrollo y, con carácter supletorio, por la normativa de procedimiento administrativo común de las Administraciones públicas.

4. Todo interesado tendrá derecho a interponer recurso contencioso-administrativo, de acuerdo con su normativa reguladora, en caso de que la autoridad de protección de datos competente no dicte resolución expresa y se la notifique no dé curso en el plazo de tres meses.

Artículo 53. Derecho a indemnización por entes del sector público.

1. Los interesados tendrán derecho a ser indemnizados por el responsable del tratamiento, o por el encargado del tratamiento cuando formen parte del sector público, en el caso de que sufran daño o lesión en sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en esta ley orgánica.

2. Cuando quien incumpla lo dispuesto en esta ley orgánica tenga la consideración de administración pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad previsto en la normativa sobre el procedimiento administrativo común de las Administraciones públicas y sobre el régimen jurídico del sector público.

3. Cuando quien incumpla esta ley orgánica tenga la consideración de autoridad judicial o del Ministerio Fiscal, la responsabilidad se exigirá conforme a lo previsto en la Ley Orgánica 6/1985, de 1 de julio.

Artículo 54. Derecho a indemnización por encargados del tratamiento del sector privado.

1. Los interesados que sufran daño o lesión en sus bienes o derechos por parte del encargado del tratamiento que no forme parte del sector público, como consecuencia del incumplimiento de lo dispuesto en esta ley orgánica, tendrán derecho a ser indemnizados.

2. El encargado del tratamiento estará obligado a indemnizar todos los daños y perjuicios que cause a los interesados o a terceros como resultado de las operaciones de tratamientos de datos previstas en el contrato u otro instrumento acto jurídico suscrito con el responsable del tratamiento conforme al artículo 30, de conformidad con el régimen de responsabilidad del contratista por los daños causados por terceros regulado en la normativa sobre contratos del sector público.

3. Cuando tales daños y perjuicios hayan sido ocasionados como consecuencia inmediata y directa de una orden de la autoridad competente responsable del tratamiento, será ésta la responsable.

4. Los interesados o los terceros perjudicados podrán requerir al responsable del tratamiento, dentro del año siguiente a la producción del hecho, para que informe, una vez oído el encargado del tratamiento, acerca de cuál de las partes contratantes o de las que hayan suscrito el acto jurídico conforme al artículo 30, corresponde la responsabilidad de los daños. El ejercicio de esta facultad interrumpe el plazo de prescripción de la acción.

5. Con independencia de lo previsto en los apartados anteriores, el encargado del tratamiento que no forme parte del sector público responderá de los daños y perjuicios que durante las operaciones de tratamiento de datos cause. Deberá hacerlo tanto respecto del responsable del tratamiento, como respecto del interesado o de terceros por incumplimientos de esta ley orgánica, de infracciones de preceptos legales o reglamentarios, o por el incumplimiento de las previsiones contenidas en el contrato o en otro acto jurídico suscrito. El encargado del tratamiento que no forme parte del sector público deberá haber incurrido en actuaciones que le sean imputables, sin perjuicio de la aplicación del régimen sancionador, en su caso.

Artículo 55. Tutela judicial efectiva.

1. Sin perjuicio de cualquier otro recurso administrativo, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa, de acuerdo con su legislación reguladora, contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.

2. El interesado podrá conferir su representación a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que ejerza los derechos contemplados en el apartado anterior.

CAPÍTULO VIII. Régimen sancionador

Artículo 56. Sujetos responsables.

1. La responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realizaran la conducta en que consista la infracción.

2. Están sujetos al régimen sancionador:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los encargados no establecidos en el territorio de la Unión Europea.

d) El resto de las personas físicas o jurídicas obligadas por el contenido del deber de colaboración establecido en el artículo 7.

3. No será de aplicación el régimen sancionador establecido en este capítulo al delegado de protección de datos.

Artículo 57. Concurso de normas.

1. Los hechos susceptibles de ser calificados con arreglo a dos o más preceptos de esta u otra ley, siempre que no constituyan infracciones al Reglamento General de Protección de Datos, ni a la Ley Orgánica 3/2018, de 5 de diciembre, se sancionarán observando las siguientes reglas:

a) El precepto especial se aplicará con preferencia al general.

b) El precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquél.

c) En defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor.

2. En el caso de que un solo hecho constituya dos o más infracciones, o cuando una de ellas sea medio necesario para cometer la otra, la conducta será sancionada por aquella infracción que conlleve una mayor sanción.

Artículo 58. Infracciones muy graves.

Son infracciones muy graves:

a) El tratamiento de datos personales que vulnere los principios y garantías establecidos en el artículo 6 o sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 11, siempre que se causen perjuicios de carácter muy grave a los interesados.

b) El acceso, cesión, alteración y divulgación de los datos al margen de los supuestos autorizados por el responsable o encargado de los datos, siempre que no constituya ilícito penal.

c) La transferencia temporal o definitiva de datos de carácter personal con destino a Estados que no sean miembros de la Unión Europea o a destinatarios que no sean autoridades competentes, establecidos en dichos Estados incumpliendo las condiciones previstas en los artículos 43 y 47.

d) La utilización de los datos para una finalidad que no sea compatible con el objetivo para el que fueron recogidos o cuando no se cumplan las condiciones establecidas en el artículo 6, siempre que no se cuente con una base legal para ello.

e) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, que cause perjuicios graves a los interesados.

f) La omisión del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en esta ley orgánica.

g) La vulneración del deber de confidencialidad del encargado del tratamiento, establecido en el artículo 30.

h) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que se causen perjuicios de carácter muy grave para los interesados.

i) El impedimento, la obstaculización o la falta de atención reiterada del ejercicio de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que se causen perjuicios de carácter muy grave para los interesados.

j) La negativa a proporcionar a las autoridades competentes la información necesaria para la prevención, detección, investigación y enjuiciamiento de infracciones penales, para la ejecución de sanciones penales o para la protección y prevención frente a las amenazas contra la seguridad pública de acuerdo con lo previsto en el artículo 7, así como informar al interesado cuando se comuniquen sus datos en virtud del deber de colaboración establecido en dicho artículo.

k) La resistencia u obstrucción del ejercicio de la función inspectora de las autoridades de protección de datos competentes.

l) La falta de notificación a las autoridades de protección de datos competentes acerca de una violación de la seguridad de los datos personales, cuando sea exigible, así como la ausencia de comunicación al interesado de una violación de la seguridad cuando sea procedente de acuerdo con el artículo 39, siempre que se deriven perjuicios de carácter muy grave para el interesado.

m) El incumplimiento de las resoluciones dictadas por las autoridades de protección de datos competentes, en el ejercicio de las potestades que le confiere el artículo 50.

n) No facilitar el acceso del personal de las autoridades de protección de datos competentes a los datos personales, información, locales, equipos y medios de tratamiento, cuando sean requeridos por las mismas, en el ejercicio de sus poderes de investigación.

Artículo 59. Infracciones graves.

Son infracciones graves:

a) El incumplimiento de los plazos de conservación y revisión establecidos en virtud del artículo 8.

b) El tratamiento de los datos de carácter personal cuando se incumplan los principios del artículo 6 o las condiciones de licitud del tratamiento del artículo 9, siempre que no constituya una infracción muy grave.

c) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, siempre que no constituya una infracción muy grave.

d) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que no constituya una infracción muy grave.

e) La falta de designación de un delegado de protección de datos en los términos previstos en el artículo 40 o no posibilitar la efectiva participación del mismo en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

f) El incumplimiento de la puesta a disposición al interesado de la información prevista en el artículo 21 o del deber de comunicación al mismo, o a la autoridad de protección de datos competente, de una violación de la seguridad de los datos, que entrañe un grave perjuicio para los derechos y libertades del interesado.

g) La ausencia de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, incluidas las medidas oportunas desde el diseño y por defecto, así como para integrar las garantías necesarias en el tratamiento.

h) El impedimento, la falta de atención o la obstaculización de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que no constituya infracción muy grave.

i) El incumplimiento de la obligación de llevanza de los registros de actividades de tratamiento o del registro de operaciones de tratamiento, si se causan perjuicios de carácter grave a los interesados.

j) El incumplimiento de las estipulaciones recogidas en el contrato u acto jurídico que vincula al responsable y al encargado del tratamiento, salvo en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento, así como el incumplimiento de las obligaciones impuestas en el artículo 30.

k) La falta de colaboración diligente con las autoridades competentes en el cumplimiento de las obligaciones establecidas en el artículo 7, cuando no constituya una infracción muy grave.

l) La falta de cooperación, la actuación negligente o el impedimento de la función inspectora de las autoridades de protección de datos competentes, cuando no constituya infracción muy grave.

m) El incumplimiento de la evaluación de impacto en la protección de los datos de carácter personal, si se derivan perjuicios o riesgos de carácter grave para los interesados.

n) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos competente, en los casos en que dicha consulta resulte preceptiva conforme al artículo 36.

Artículo 60. Infracciones leves.

Son infracciones leves:

a) La afectación leve de los derechos de los interesados como consecuencia de la ausencia de la debida diligencia o del carácter inadecuado o insuficiente de las medidas técnicas y organizativas que se hubiesen implantado.

b) El incumplimiento del principio de transparencia de la información o del derecho de información del interesado establecido en el artículo 21 cuando no se facilite toda la información exigida en esta ley orgánica.

c) La inobservancia de la obligación de informar al interesado y a los destinatarios a los que se hayan comunicado o de los que procedan los datos personales rectificados, suprimidos o respecto de los que se haya limitado el tratamiento, conforme a lo establecido en el artículo 23.

d) El incumplimiento de la llevanza de registros de actividades de tratamiento o del registro de operaciones o que los mismos no incorporen toda la información exigida legalmente, siempre que no constituya infracción grave.

e) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible legalmente.

f) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, a propósito del tratamiento de datos personales y de sus relaciones con los interesados, así como la inexactitud o la falta de concreción en la determinación de las mismas.

g) El incumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de una posible infracción de las disposiciones de esta ley orgánica, como consecuencia de una instrucción recibida de éste.

h) La notificación incompleta o defectuosa a la autoridad de protección de datos competente de la información relacionada con una violación de seguridad de los datos personales, el incumplimiento de la obligación de documentarla o del deber de comunicar al interesado su existencia, cuando que no constituya una infracción grave.

i) La aportación de información inexacta o incompleta a la autoridad de protección de datos competente, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.

j) La falta de publicación de los datos de contacto del delegado de protección de datos, o la ausencia de comunicación de su designación y cese a la autoridad de protección de datos competente, de conformidad con el artículo 40, cuando su nombramiento sea exigible de acuerdo con esta ley orgánica.

Artículo 61. Régimen jurídico.

El ejercicio de la potestad sancionadora se regirá por lo dispuesto en el presente capítulo, por los títulos VII y IX de la Ley Orgánica 3/2018, de 5 de diciembre, y, en cuanto no las contradigan, con carácter supletorio, por la normativa de procedimiento administrativo común de las Administraciones públicas.

Artículo 62. Sanciones.

Por la comisión de las infracciones tipificadas en esta ley orgánica se impondrán las siguientes sanciones:

1. En caso de que el sujeto responsable sea algunos de los enumerados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, se impondrán las sanciones y se adoptarán las medidas establecidas en dicho artículo.

2. En caso de que el sujeto infractor sea distinto de los señalados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, podrá ser sancionado, con multa de la siguiente cuantía:

a) Las infracciones muy graves, con multa de 360.001 a 1.000.000 euros.

b) Las infracciones graves, con multa de 60.001 a 360.000 euros.

c) Las leves, con multa de 6.000 a 60.000 euros.

A efectos de la determinación de la cuantía de la sanción, se tendrán en cuenta los criterios establecidos en el artículo 83.2 del Reglamento General de Protección de Datos y en el artículo 76.2 de la Ley Orgánica 3/2018, de 5 de diciembre.

Artículo 63. Prescripción de las infracciones y sanciones.

1. Las infracciones administrativas tipificadas en esta ley orgánica prescribirán a los seis meses, a los dos o a los tres años de haberse cometido, según sean leves, graves o muy graves, respectivamente.

Los plazos señalados en esta ley orgánica se computarán desde el día en que se haya cometido la infracción. No obstante, en los casos de infracciones continuadas y de infracciones de efectos permanentes, los plazos se computarán, respectivamente, desde el día en que se realizó la última infracción y desde que se eliminó la situación ilícita.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

Se interrumpirá igualmente la prescripción como consecuencia de la apertura de un procedimiento judicial penal, hasta que la autoridad judicial comunique al órgano administrativo su finalización.

2. Las sanciones impuestas por infracciones muy graves prescribirán a los tres años, las impuestas por infracciones graves, a los dos años, y las impuestas por infracciones leves al año, computados desde el día siguiente a aquel en que adquiera firmeza en vía administrativa la resolución por la que se impone la sanción.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 64. Caducidad del procedimiento.

1. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.

2. La resolución que declare la caducidad se notificará al interesado y pondrá fin al procedimiento, sin perjuicio de que la administración pueda acordar la incoación de un nuevo procedimiento en tanto no haya prescrito la infracción. Los procedimientos caducados no interrumpirán el plazo de prescripción.

Artículo 65. Carácter subsidiario del procedimiento administrativo sancionador respecto del penal.

1. No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente cuando se aprecie identidad de sujeto, de hecho y de fundamento.

2. En los supuestos en que las conductas pudieran ser constitutivas de delito, el órgano administrativo pasará el tanto de culpa a la autoridad judicial o al Ministerio Fiscal y se abstendrá de seguir el procedimiento sancionador mientras la autoridad judicial no dicte sentencia firme o resolución que de otro modo ponga fin al procedimiento penal, o el Ministerio Fiscal no acuerde la improcedencia de iniciar o proseguir las actuaciones en vía penal, quedando hasta entonces interrumpido el plazo de prescripción.

La autoridad judicial y el Ministerio Fiscal comunicarán al órgano administrativo la resolución o acuerdo que hubieran adoptado.

3. De no haberse estimado la existencia de ilícito penal, o en el caso de haberse dictado resolución de otro tipo que ponga fin al procedimiento penal, podrá iniciarse o proseguir el procedimiento sancionador.

En todo caso, el órgano administrativo quedará vinculado por los hechos declarados probados en vía judicial.

4. Las medidas cautelares adoptadas antes de la intervención judicial podrán mantenerse mientras la autoridad judicial no resuelva otra cosa.

Disposición adicional primera. Regímenes específicos.

1. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para los fines previstos en al artículo 1, se regirá por esta ley orgánica, sin perjuicio de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el procesal penal, la regulación del tráfico o la protección de instalaciones propias.

2. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para fines distintos de los previstos en el artículo 1, se regirá por lo dispuesto en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y en su Reglamento de desarrollo y ejecución, aprobado por el Real Decreto 596/1999, de 16 de abril, en todo aquello que no se oponga a lo dispuesto en esta ley orgánica.

Disposición adicional segunda. Intercambio de datos dentro de la Unión Europea.

El intercambio de datos personales por parte de las autoridades competentes españolas en el interior de la Unión Europea, cuando el Derecho de la Unión Europea o la legislación española exijan dicho intercambio, no estará limitado ni prohibido por motivos relacionados con la protección de las personas físicas respecto al tratamiento de sus datos personales.

Disposición adicional tercera. Acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial.

Los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean objeto de modificación, enmienda o terminación.

Disposición adicional cuarta. Ficheros y Registro de Población de las Administraciones Públicas.

1. Las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos estadísticos de ámbito autonómico, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias. Esta solicitud deberá estar motivada en base a cualquiera de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2. Los datos obtenidos tendrán como único propósito el cumplimiento de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública y la comunicación de estas autoridades con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas.

Disposición adicional quinta. Referencias normativas.

Las referencias contenidas en normas vigentes en relación a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a los artículos de esta ley orgánica que regulan la misma materia que aquéllas.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en esta ley orgánica.

Disposición final primera. Modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria.

Se introduce un nuevo artículo 15 bis en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, que queda redactado como sigue:

«Artículo 15 bis. Tratamientos de datos de carácter personal.

1. Admitido en el establecimiento un interno, se procederá a verificar su identidad personal, efectuando la reseña alfabética, dactilar y fotográfica, así como a la inscripción en el libro de ingresos y a la apertura de un expediente personal relativo a su situación procesal y penitenciaria, respecto del que se reconoce el derecho de acceso. Este derecho sólo se verá limitado de forma individualizada y fundamentada en concretas razones de seguridad o tratamiento.

2. El tratamiento de los datos personales de los internos se regirá por lo previsto en la Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública. Los datos personales de categorías especiales que no figuren en el apartado anterior se podrán tratar con el consentimiento del interesado. Sólo se prescindirá de dicho consentimiento cuando sea estrictamente necesario y se efectúe con las garantías adecuadas para proteger el derecho a la protección de datos de los interesados, atendiendo al tipo de datos que se traten y a las finalidades de los distintos tratamientos dirigidos a la ejecución de la pena.

3. Igualmente se procederá al cacheo de su persona y al registro de sus efectos, retirándose los enseres y objetos no autorizados.

4. En el momento del ingreso se adoptarán las medidas de higiene personal necesarias, entregándose al interno las prendas de vestir adecuadas que precise, firmando el mismo su recepción.»

Disposición final segunda. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Se modifica la disposición adicional decimoquinta que queda redactada como sigue:

«Disposición adicional decimoquinta. Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.

Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión e inspección relacionadas con la detección de delitos graves, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.

La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales.»

Disposición final tercera. Modificación de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

Se modifica el artículo 10 que queda redactado como sigue:

«1. Los momentos en los que las compañías aéreas deben transmitir los datos PNR a la UIP serán los siguientes:

a) Entre las 24 y las 48 horas antes de la hora de salida programada del vuelo, e b) inmediatamente después del cierre del vuelo, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar.

Las compañías aéreas podrán limitar esta transmisión prevista en el párrafo b) a las actualizaciones de la información transmitida conforme al párrafo a).

2. El Proveedor de Servicios de Navegación Aérea en el espacio aéreo de soberanía española, en colaboración con las compañías aéreas, deberá comunicar a la UIP cualquier cambio producido, previamente o durante el trayecto, respecto al destino donde se tuviera previsto aterrizar, así como la realización de una escala no programada.

3. Además, cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta relacionada con delitos de terrorismo o con delitos graves, en momentos distintos de los previstos en el apartado 1, todos los sujetos obligados, caso por caso, deberán transmitir a la UIP dichos datos con carácter inmediato al requerimiento recibido.»

Disposición final cuarta. Modificación de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.

Se modifica el artículo 30 que queda redactado como sigue:

«Artículo 30. Procedimiento sancionador.

1. El ejercicio de la potestad sancionadora a la que se refiere este título, se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.

2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.»

Disposición final quinta. Modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Se modifica el artículo 69 que queda redactado como sigue:

«Artículo 69. Régimen Jurídico.

1. El ejercicio de la potestad sancionadora en materia de seguridad privada se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.

2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.

3. Iniciado el procedimiento sancionador, el órgano que haya ordenado su incoación podrá adoptar las medidas cautelares necesarias para garantizar su adecuada instrucción, así como para evitar la continuación de la infracción o asegurar el pago de la sanción, en el caso de que ésta fuese pecuniaria, y el cumplimiento de la misma en los demás supuestos.

4. Dichas medidas, que deberán ser congruentes con la naturaleza de la presunta infracción y proporcionadas a la gravedad de la misma, podrán consistir en:

a) La ocupación o precinto de vehículos, armas, material o equipo prohibido, no homologado o que resulte peligroso o perjudicial, así como de los instrumentos y efectos de la infracción.

b) La retirada preventiva de las autorizaciones, habilitaciones, permisos o licencias, o la suspensión, en su caso, de la eficacia de las declaraciones responsables.

c) La suspensión de la habilitación del personal de seguridad privada y, en su caso, de la tramitación del procedimiento para el otorgamiento de aquélla, mientras dure la instrucción de expedientes por infracciones graves o muy graves en materia de seguridad privada.

También podrán ser suspendidas las indicadas habilitación y tramitación, hasta tanto finalice el proceso por delitos contra dicho personal.

5. Las medidas cautelares previstas en los párrafos b) y c) del apartado anterior no podrán tener una duración superior a un año.»

Disposición final sexta. Modificación del texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre.

Se modifica el artículo 68 que queda redactado como sigue:

«Artículo 68. Matrículas.

1. Para poner en circulación vehículos a motor, así como remolques de masa máxima autorizada superior a la que reglamentariamente se determine, es preciso matricularlos y que lleven las placas de matrícula con los caracteres que se les asigne del modo que se establezca. Esta obligación será exigida a los ciclomotores en los términos que reglamentariamente se determine.

2. Deben ser objeto de matriculación definitiva en España los vehículos a los que se refiere el apartado anterior, cuando se destinen a ser utilizados en el territorio español por personas o entidades que sean residentes en España o que sean titulares de establecimientos situados en España. Reglamentariamente se establecerán los plazos, requisitos y condiciones para el cumplimiento de esta obligación y las posibles exenciones a la misma.

3. La matriculación ordinaria será única para cada vehículo, salvo en los supuestos que se determinen reglamentariamente. Cuando concurran circunstancias que puedan afectar a la Seguridad Nacional, el Secretario de Estado de Seguridad podrá autorizar una nueva matrícula distinta de la inicialmente asignada. Este tipo de matrículas no serán públicas en el Registro General de Vehículos e, incluso en circunstancias excepcionales, podrá utilizarse una titularidad supuesta en el marco de la actuación de las Fuerzas y Cuerpos de Seguridad y del Centro Nacional de Inteligencia en el tráfico jurídico.

4. En casos justificados, la autoridad competente para expedir el permiso de circulación podrá conceder permisos de circulación temporales y provisionales en los términos que se determine reglamentariamente.»

Disposición final séptima. Naturaleza de la ley.

Esta ley tiene el carácter de ley orgánica. No obstante, tienen carácter ordinario:

a) El Capítulo VI.

b) El Capítulo VII.

c) El Capítulo VIII.

d) Las disposiciones finales cuarta, quinta y sexta.

Disposición final octava. Título competencial.

Esta ley orgánica se dicta al amparo de las reglas 1.ª, 6.ª, 18.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; respecto a las bases del régimen jurídico de las Administraciones Públicas, el procedimiento administrativo común y en relación al sistema de responsabilidad de todas las Administraciones públicas; sobre legislación penal, penitenciaria, procesal; y en materia de seguridad pública.

Disposición final novena. Incorporación del Derecho de la Unión Europea.

Mediante esta ley orgánica se incorpora al ordenamiento jurídico español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

Disposición final décima. Entrada en vigor.

Esta ley orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

No obstante, las previsiones contenidas en el capítulo IV producirán efectos a los seis meses de la entrada en vigor de la ley orgánica.

11May/21

Informe 9 de abril de 2021, Proyecto de Ley Orgánica de Protección de Datos Personales

Informe 9 de abril de 2021, Para Segundo Debate del Proyecto de Ley Orgánica de Protección de Datos Personales

PROYECTO DE LEY

EXPOSICIÓN DE MOTIVOS

Es de conocimiento general el espíritu cambiante de la sociedad en que vivimos; las nuevas tendencias y comportamientos componen un sinfín de mecanismos que enmarcan caminos y definen horizontes. El individuo en sí mismo pertenece a un conglomerado de oportunidades que siembra libertades, pero no siempre las materializa, esto en virtud de elementos que ajenos a los fines se apropia de ellos y los modifican.

El legislador en esta posición y en términos aristotélicos vendría a ser la justicia animada, en donde el justo medio de un todo revelará una sociedad fructífera, que no esté viciada por extremos equiparables a una inequidad, que dista de lo justo que en sí mismo debe ser permanente y acceder a todos los espacios para adjudicarse como tal.

En este contexto es imperante mencionar que el espacio en el que actualmente el individuo se desarrolla no se limita a sus expectativas, sino más bien, en sintonía con la evolución previamente mencionada, el sujeto es símbolo de conservación, labra estrategias que le permiten afianzarse a un terreno sólido y en el camino sobrevivir ante la vulneración de sus libertades, ya que como es conocido, todo aquel mecanismo que las genere será el mismo que las limitará.

Trasladándose al escenario actual, la colectividad ha experimentado cambios que por su irrevocable importancia han dejado precedentes en la historia, esto es por ejemplo un relativismo ideológico, nuevas formas de agrupación familiar, aumento en la esperanza de vida y en paralelo disminución de la tasa de natalidad y en particular la omnipresencia de la tecnología.

Es así que el individuo, aun víctima de las dificultades que con ello advienen, recolecta los aspectos positivos y disfruta de los avances en todo ámbito posible, en el caso puntual, la región digital que de la mano con el perfeccionamiento tecnológico extienden las posibilidades de un nuevo mundo, colaborando así no solo con la efectivización de procesos, sino también con el desarrollo económico, facilitando el vivir cotidiano creando redes de distribución de la información y generando en función a ello réditos económicos.

Es de admitir que, las personas se desenvuelven en una sociedad altamente conectada, esto permite que la provisión de distintos servicios y la comunicación, se realicen desde cualquier parte del mundo y en tiempo real. Las tecnologías de la información y comunicación (TIC) han impactado sustancialmente en la vida de las personas, tanto es así, que se han convertido en herramientas y procesos indispensables e ineludibles para la satisfacción de necesidades básicas de los seres humanos.

Su versatilidad permite que estas logren adaptarse a las necesidades y requerimientos de forma personalizada, es por eso que el ser humano las acopla en todas sus actividades manteniendo con ellas una relación incluso cercana a la dependencia. Como consecuencia de ello se ha generado la omnipresencia de las mismas, en la totalidad de las áreas en las que los individuos se desenvuelven (salud, comercio, educación, migración, cooperación internacional), respeto y garantía de derechos, cultura, entre otros).

Es indudable que las TIC representan un sin número de beneficios que tienen como objetivo mejorar la calidad de vida de los seres humanos, sin embargo, también se ha de reconocer que el mismo potencial ha sido invertido para configurar un espacio lleno de múltiples riesgos para las personas.

Esto en virtud de que los individuos no son conscientes del valor de sus datos, considerando que, usados de manera adecuada, pueden generar una serie de ventajas, no solo para tu titular, sino también para los proveedores de bienes o servicios públicos o privados que los procesan; pero cuando se tratan de forma irresponsable o abusiva pueden llegar a afectar gravemente la dignidad e integridad de los seres humanos, es así que, su recopilación, procesamiento y comunicación inadecuada puede significar una vulneración a derechos fundamentales como la vida, la salud, el acceso a servicios públicos, la integridad física, psicológica o sexual, entre muchos otros; lesiones que se han podido evidenciar a nivel mundial y que incluso ya se han familiarizado con la realidad ecuatoriana.

La casi arbitraria libertad con la que se mueve la información acaece desconcierto social por la ausencia de mecanismos de protección que controlen su tratamiento, eso en virtud de que gran parte de esta sujeta datos personales, que utilizados o tratados inadecuadamente pueden por ejemplo, alterar elecciones presidenciales, determinar quién recibe servicios de salud o alimenticios, ser una herramienta para la delincuencia organizada (trata de personas, narcotráfico o terrorismo). Situaciones que parecen lejanas a nuestra realidad; sin embargo, estas circunstancias se evidencian actualmente incluso en nuestro país, donde se han evidenciado robos, ataques o exposiciones ilegítimas de bases de datos de carácter público o privado que han generado perjuicios sociales y económicos.

En lo que respecta al siglo pasado la relación instituida entre el Estado y el individuo en cuanto a identificación mutua ha sido realmente escasa; el ambiente percibido en tal época se contenía en cajas de información registrada a mano que en virtud del tiempo se volvía frágil, quebrando consigo toda relación existente.

Actualmente el Estado constituye en sí una de las mayores fuentes de información en razón de la posesión de grandes bases de datos necesarias para la consecución de sus fines administrativos, convirtiéndolo en un efectivizador de procesos que atraviesa la delgada línea entre su posición garantista de derechos humanos y la susceptibilidad de vulnerarlos.

A lo largo de la historia, el ser humano ha sido testigo de grandes vulneraciones a la dignidad, debido al procesamiento de información con fines ajenos al interés general, eventos históricos como la Segunda Guerra Mundial no habrían dejado tantas víctimas, si aquellos que abusaron del poder no hubieran tenido en sus manos información que les permitiera aniquilar a millones de personas.

Hito histórico que parece ajeno a nuestra realidad territorial y actual, pero ejemplos como el proyecto SAFARI en la Francia de 1974 o el Plan Cóndor cultivado por los regímenes dictatoriales del Cono Sur que desencadenaron los “Archivos del terror” de Paraguay en 1993, evidencian lo peligroso que puede ser para el ser humano, no ser consciente del valor de su información.

Con la influencia actual de las tecnologías de la información y comunicación, y los procesos de analítica de datos, es cada vez más necesario entender su trascendencia; en el Ecuador, constantemente se suscitan circunstancias de afectación a derechos, debido al tratamiento inadecuado de datos personales, es muy común encontrar noticias que anuncian el robo de bases de datos, la modificación de las mismas para la obtención de beneficios ilegales, incluso, un intento de incidir en su derecho a elegir por la emisión de noticias falsas.

Es imperante, denotar que las transgresiones no solo se suscitan en el ámbito público, sino que también ocurren a nivel privado, con mayor frecuencia de la que el individuo percibe; en el Ecuador, cualquier abonado a servicios móviles, recibe innumerables llamadas para el ofrecimiento de planes celulares, de seguros y tarjetas de crédito, sin conocer cómo empresas con las que nunca han tenido relaciones obtienen su información y que a pesar de su incomodidad no pueden dejar de ser parte de estas redes.

Así mismo, son innumerables las denuncias por el inicio de procesos que tienen el objeto de deudas que en la mayoría de los casos son inexistentes o la denegación de acceso a servicios por criterios sin fundamento y en algunos casos discriminatorio.

Los datos en la actualidad se consideran activos digitales con gran valor económico, incluso equiparable al del dinero; los sujetos se enfrentan a una realidad en donde su información forma parte de un mercado negro, del que nadie habla pero es innegable.

Para enfrentar estas dificultades y aprovechar el potencial de las TIC para el desarrollo sostenible, generar confianza en línea y garantizar las oportunidades que brindan los adelantos tecnológicos, cada uno de los países, sobre la base de su estructura normativa propia, ha optado por desarrollar mecanismos de protección de las personas y sus datos.

Hay pocos Estados que no han desarrollado normativa alguna sobre la materia, o la que tienen es incompleta, dispersa o contradictoria, estos son los que mayor desventaja presentan no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social, lo cual evidencia la posibilidad real de quedar aún más rezagados.

En ese contexto, es indispensable dar certidumbre a usuarios, empresas, organizaciones y Estados, sobre todo en este momento en el cual la economía mundial se desplaza más hacia un espacio de información masiva, hiper-conectada, en tiempo real, de flujo incesante proveniente de internet de las cosas, automatizada con algoritmos de inteligencia artificial cada vez más sofisticados, y de la réplica incesante mediante tecnologías de registros distribuidos. Todo esto, unido a que los datos no tienen fronteras y que las plataformas y servicios son de libre disposición y se almacenan en centros de datos de todo el mundo, obliga a los países a realizar marcos jurídicos compatibles en distintos niveles: nacional, regional y mundial que faciliten el intercambio y al mismo tiempo respeten y protejan los derechos humanos.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombra por primera vez al Relator especial sobre el derecho a la privacidad en la era digital con la finalidad de que, entre otras, presente informes que incluya “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones.

En el mismo sentido, el 25 de mayo de 2018, entró en vigencia el Reglamento General Europeo de Protección de Datos Personales, su aplicación afecta a todos los países del mundo, ya que únicamente permite e incentiva que países que cuenten con niveles adecuados de protección puedan tratar datos de ciudadanos europeos.

Adicionalmente, es importante mencionar que en el año 2016 se suscribió el Protocolo de Adhesión de Ecuador al Acuerdo Comercial Multipartes con la Unión Europea, con el objetivo de buscar mejores condiciones para el intercambio de bienes y servicios entre los países miembros de la UE y el Estado ecuatoriano; este acuerdo, sin embargo, se ha visto afectado dado que para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que si cuentan con Ley de Protección de Datos Personales.

En virtud de estos antecedentes, y dada la urgencia de la legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

ASAMBLEA NACIONAL DE LA REPÚBLICA DE ECUADOR

EL PLENO

CONSIDERANDO

Que, el artículo 1 de la Constitución de la República dispone que el “Estado ecuatoriano es un Estado constitucional de derechos y justicia, social, democrático (…)”.

Que, el artículo 3 en sus numerales 1, 5 y 8 de la Carta Magna determinan que son deberes primordiales del Estado “1 Garantizar sin discriminación alguna el efectivo goce de los derechos establecidos en la Constitución y en los instrumentos internacionales, en particular la educación, la salud, la alimentación, la seguridad social y el agua para sus habitantes. 5 Planificar el desarrollo nacional, erradicar la pobreza, promover el desarrollo sustentable y la redistribución equitativa de los recursos y la riqueza, para acceder al buen vivir. 8 Garantizar a sus habitantes el derecho a una cultura de paz, a la seguridad integral y a vivir en una sociedad democrática y libre de corrupción.”;

Que, el numeral 1 del artículo 11 de la Norma Suprema establece que “Los derechos se podrán ejercer, promover y exigir de forma individual o colectiva ante las autoridades competentes, estas autoridades garantizarán su cumplimiento.”;

Que el numeral 2 del artículo 11 de la Norma Suprema prescribe que “Todas las personas son iguales y gozarán de los mismos derechos y oportunidades”;

Que, el numeral 3 del artículo 11 de la Constitución de la República preceptúa que “Los derechos y garantías establecidas en la Constitución y en los instrumentos internacionales de derechos humanos serán de directa e inmediata aplicación por y ante cualquier servidora o servidor público, administrativo o judicial, de oficio o a petición de parte”;

Que, el numeral 8 del artículo 11 de la Norma Suprema dispone que “El contenido de los derechos y garantías establecidos en la Constitución y en los instrumentos internacionales de derechos humanos, no excluirá los demás derechos derivados de la dignidad de las personas, comunidades, pueblos y nacionalidades, que sean necesarios para su pleno desenvolvimiento. Será inconstitucional cualquier acción u omisión de carácter regresivo que disminuya, menoscabe o anule injustificadamente el ejercicio de los derechos”,

Que, el artículo 16 numerales 1 y 2 de la Carta Magna determina que “Todas las personas, en forma individual o colectiva, tienen derecho a 1 Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos 2 El acceso universal a las tecnologías de información y comunicación”;

Que, el artículo 17 numeral 2 de la Norma Suprema preceptúa que “El Estado fomentará pluralidad y la diversidad en la comunicación, y al efecto 2 Facilitará la creación y el fortalecimiento de medios de comunicación públicos, privados y comunitarios, así como el acceso universal a las tecnologías de la información y comunicación en especial para las personas y colectividades que carezcan de dicho acceso o lo tengan de forma limitada”;

Que, el artículo 26 de la Constitución de la República reconoce que “La educación es un derecho de las personas a lo largo de su vida y un deber inexcusable el Estado. Constituye un área prioritaria de la política pública y de la inversión estatal, garantía de la igualdad e inclusión social v condición indispensable para el buen vivir. Las personas, las familias y la sociedad tienen el derecho y la responsabilidad de participar en el proceso educativo”;

Que, el artículo 35 de la Carta Magna establece que “Las personas adultas mayores, niñas, niños y adolescentes, mujeres embarazadas, personas con discapacidad, personas privadas de libertad y quienes adolezcan de enfermedades catastróficas o de alta complejidad, recibirán atención prioritaria y especializada en los ámbitos públicos y privado. La misma atención prioritaria recibirán las personas en situación de riesgo, las víctimas de violencia doméstica y sexual, maltrato infantil, desastres naturales o antropogénicos. El Estado prestará especial protección a las personas en condición de doble vulnerabilidad.”,

Que, el artículo 44 de la Norma Suprema dispone que “El Estado, la sociedad, y la familia promoverán de forma prioritaria el desarrollo integral de los niñas, niños y adolescentes, y asegurarán el ejercicio pleno de sus derechos, se atenderá al principio de su interés superior y sus derechos prevalecerán sobre los de las demás personas. Las niñas, niños y adolescentes tendrán derecho a su desarrollo integral, entendido como proceso de crecimiento, maduración y despliegue de su intelecto y de sus capacidades, potencialidades y aspiraciones, en un entorno familiar, escolar, social y comunitario de efectividad v seguridad. Este entorno permitirá la satisfacción de sus necesidades sociales, afectivo-emocionales y culturales, con el apoyo de políticas intersectoriales nacionales y locales.”,

Que, el artículo 66 numeral 19 de la Constitución de la República reconoce y garantiza a las personas: “19 El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”,’

Que, el numeral 6 del artículo 76 de la Carta Magna determina que “En todo proceso que se determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso que incluirá las siguientes garantías básicas 6 La ley establecerá la debida proporcionalidad entre las infracciones y las sanciones penales, administrativas o de otra naturaleza.”

Que, el artículo 92 de la Norma Suprema prescribe que “Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”;

Que, el artículo 227 de la Constitución de la República establece que “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación.”

Que, el artículo 277 de la Constitución de la República determina que “Para la consecución del buen vivir, serán deberes generales del Estado 1 Garantizar los derechos de las personas, las colectividades y la naturaleza 2 Dirigir, planificar y regular el proceso de desarrollo 3 Generar y ejecutar las políticas públicas y controlar y sancionar su incumplimiento 4 Producir bienes, crear y mantener infraestructura y proveer servicios públicos 5 Impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley 6 Promover e impulsar la ciencia, la tecnología, las artes, los saberes ancestrales y en general las actividades de la iniciativa creativa, comunitaria, asociativa, cooperativa y privada.”;

Que, el artículo 417 de la Norma Suprema dispone que “Los tratados internacionales ratificados por el Ecuador se sujetarán a lo establecido en la Constitución. En el caso de los tratados y otros instrumentos internacionales de derechos humano se aplicarán los principios pro ser humano, de no restricción de derechos, de aplicabilidad directa y de cláusula abierta establecida en la Constitución”;

Que, el numeral 3 del artículo 423 de la Constitución de la República prevé que “La integración en especial con los países de Latinoamérica y el Caribe será un objetivo estratégico del Estado. En todas las instancias y procesos de integración, el Estado ecuatoriano se comprometerá a 3 Fortalecer la armonización de las legislaciones nacionales con énfasis en los derechos (..), de acuerdo con los principios de progresividad y no regresividad.”;

Que, el artículo 424 de la Carta Magna prescribe que “La Constitución es la norma suprema y prevalece e sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales, en caso contrario carecerán de eficacia jurídica. La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público.”;

Que, la Resolución 45/95 de 14 de diciembre de 1990 de la Organización de las Naciones Unidas adopta principios rectores para la reglamentación de los ficheros computarizados de datos personales, garantías mínimas que deberán preverse en legislaciones nacionales para efectivizar este derecho;

Que, uno de los ejes de la Estrategia acordada en el año 2016 de la red Iberoamericana de Datos Personales 2020 consiste en “Impulsar y contribuir al fortalecimiento y adecuación de los procesos regulatorios en la región, mediante la elaboración de directrices que sirvan de parámetros para futuras regulaciones o para revisión de las existentes en materia de protección de datos personales”;

Que, el 20 de junio de 2017 se aprobaron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos;

Que, el Comité Jurídico Interamericano de la Organización de Estados Americanos adoptó la propuesta de declaración de principios de privacidad y protección de datos personales en las Américas;

Que, la Organización de Estados Americanos el 27 de marzo de 2015 desarrolló el Proyecto de Ley Modelo sobre Protección de datos Personales;

Que, la protección de datos personales forma parte de los ejes estratégicos para la construcción de la sociedad de la información y el conocimiento en el Ecuador conforme el Libro Blanco de la Sociedad de la Información y del Conocimiento 2018;

Que, la Acción Estratégica clave del enfoque para Gobierno de protección de datos personales del Eje 6 del Plan Nacional de la Sociedad de la Información y del Conocimiento 2018-2021, es “Promulgar una ley orgánica de protección de datos personales para garantizar el derecho constitucional.”;

Que, el principio de Legalidad de la Carta Iberoamericana de Gobierno Electrónico del año 2007 establece que “(…) el uso de comunicaciones electrónicas promovidas por la Administración Pública deberá tener observancia de las normas en materia de protección de datos personales”, con el objetivo de precautelar el derecho que tienen los ciudadanos a relacionarse electrónicamente con el Estado;

Que, la Estrategia 3 del Programa de Gobierno Abierto del Plan Nacional de Gobierno Electrónico apunta a “Impulsar la protección de la información y datos personales”; y,

En uso de la atribución que le confiere el número 6 del artículo 120 de la Constitución de la República, expide lo siguiente:

LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. ÁMBITO DE APLICACIÓN INTEGRAL

Artículo 1.- Objeto y finalidad

El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.

Artículo 2. Ámbito de aplicación material

La presente ley se aplicará al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior. La ley no será aplicable a:

a) Personas naturales que utilicen estos datos en la realización de actividades familiares o domésticas;

b) Personas fallecidas, sin perjuicio de lo establecido en el artículo 28 de la presente Ley;

c) Datos anonimizados, en tanto no sea posible identificar a su titular. Tan pronto los datos dejen de estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones de esta ley, especialmente la de contar con una base de licitud para continuar tratando los datos de manera no anonimizada o disociada;

d) Actividades periodísticas y otros contenidos editoriales;

e) Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado, en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad;

f) Datos o bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales. En cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad; y

g) Datos que identifican o hacen identificable a personas jurídicas. Son accesibles al público y susceptibles de tratamiento los datos personales referentes al contacto de profesionales y los datos de comerciantes, representantes y socios y accionistas de personas jurídicas y servidores públicos, siempre y cuando se refieran al ejercicio de su profesión, oficio, giro de negocio, competencias, facultades, atribuciones o cargo y se trate de nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, y, número de teléfono profesional. En el caso de los servidores públicos, además serán de acceso público y susceptibles de tratamiento de datos, el histórico y vigente de la declaración patrimonial y de su remuneración

Artículo 3.- Ámbito de aplicación territorial

Sin perjuicio de la normativa establecida en los instrumentos internacionales ratificados por el Estado ecuatoriano que versen sobre esta materia, se aplicará la presente Ley cuando:

1. El tratamiento de datos personales se realice en cualquier parte del territorio nacional;

2. El responsable o encargado del tratamiento de datos personales se encuentre domiciliado en cualquier parte del territorio nacional;

3. Se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador.; y

4. Al responsable o encargado del tratamiento de datos personales, no domiciliado en el territorio nacional, le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público.

Artículo 4.- Términos y definiciones

Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.

Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.

Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.

Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera. Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apatridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales. Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros.

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Entidad Certificadora: Entidad reconocida por la Autoridad de Protección de Datos Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos personales. Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado. Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otrosdecide sobre la finalidad y el tratamiento de datos personales.

Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al responsable o al encargado del tratamiento de datos personales, de haber implementado mejores prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Titular: Persona natural cuyos datos son objeto de tratamiento.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

Artículo 5.- Integrantes del sistema de protección de datos personales

Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;

2) Responsable del tratamiento;

3) Encargado del tratamiento;

4) Destinatario;

5) Autoridad de Protección de Datos Personales; y,

6) Delegado de protección de datos personales.

Artículo 6.- Normas aplicables al ejercicio de derechos

El ejercicio de los derechos previstos en esta Ley se canalizarán a través del responsable del tratamiento, Autoridad de Protección de Datos Personales o jueces competentes, de conformidad con el procedimiento establecido en la presente Ley y su respectivo Reglamento de aplicación. El Reglamento a esta Ley u otra norma secundaria no podrán limitar al ejercicio de los derechos.

Artículo 7.- Tratamiento legítimo de datos personas

El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades específicas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales, del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.

Artículo 8.- Consentimiento

Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la manifestación de la voluntad sea: Libre, es decir, cuando se encuentre exenta de vicios del consentimiento; Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento; Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia; Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular; El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, para lo cual el responsable del tratamiento de datos personales establecerá mecanismos que garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al proceder con el cual recabó el consentimiento.

El tratamiento realizado antes de revocar el consentimiento es lícito, en virtud de que este no tiene efectos retroactivos. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste que dicho consentimiento se otorga para todas ellas.

Artículo 9.- Interés legítimo

Cuando el tratamiento de datos personales tiene como fundamento el interés legítimo:

a) únicamente podrán ser tratados los datos que sean estrictamente necesarios para la realización de la finalidad.

b) el responsable debe garantizar que el tratamiento sea transparente para el titular.

c) la Autoridad de Protección de Datos puede requerir al responsable un informe con de riesgo para la protección de datos, en el cual se verificará si no hay amenazas concretas a las expectativas legítimas de los titulares y a sus derechos fundamentales.

CAPÍTULO II. PRINCIPIOS

Artículo 10.- Principios

Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:

A. Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

B. Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

C. Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

D. Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

E. Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

F. Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma de las categorías especiales de datos.

G. Confidencialidad.- El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

H. Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.

Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del titular.

b) Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.

c) Fuesen obtenidos de un registro público por el responsable.

I. Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.

J. Seguridad de datos personales.- Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

K. Responsabilidad proactiva y demostrada.- El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales. El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.

L. Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

M. Independencia del control.- Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.

CAPÍTULO III. DERECHOS

Artículo 11.- Normativa especializada

Los datos personales cuyo tratamiento se encuentre regulado en normativa especializada en materia de ejercicio de la libertad de expresión, sectores regulados por normativa específica, gestión de riesgos, desastres naturales, seguridad nacional y defensa del Estado; y, los datos personales que deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la normativa vigente, estarán sujetos a los principios establecidos en sus propias normas y los principios establecidos en esta Ley, en los casos que corresponda y sea de aplicación favorable. En todo caso deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.

Artículo 12.- Derecho a la información

El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:

1) Los fines del tratamiento;

2) La base legal para el tratamiento;

3) Tipos de tratamiento;

4) Tiempo de conservación;

5) La existencia de una base de datos en la que constan sus datos personales;

6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;

7) Otras finalidades y tratamientos ulteriores;

8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;

9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;

10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;

11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;

12) El efecto de suministrar datos personales erróneos o inexactos;

13) La posibilidad de revocar el consentimiento;

14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.

15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;

16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;

17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal. Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.

La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.

En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley.

Artículo 13.- Derecho de acceso

El titular tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento acceso a todos sus datos personales y a la información detallada en el artículo precedente, sin necesidad de presentar justificación alguna. El responsable del tratamiento de datos personales deberá establecer métodos razonables que permitan el ejercicio de este derecho, el cual deberá ser atendido dentro del plazo de quince (15) días. El derecho de acceso no podrá ejercerse de forma tal que constituya abuso del derecho.

Artículo 14.- Derecho de rectificación y actualización

El titular tiene el derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.

Para tal efecto, el titular deberá presentar los justificativos del caso, cuando sea pertinente. El responsable de tratamiento deberá atender el requerimiento en un plazo de quince (15) días y en este mismo plazo, deberá informar al destinatario de los datos, de ser el caso, sobre la rectificación, a fin de que lo actualice.

Artículo 15.- Derecho de eliminación

El titular tiene derecho a que el responsable del tratamiento suprima sus datos personales, cuando:

1) El tratamiento no cumpla con los principios establecidos en la presente ley;

2) El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;

3) Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

4) Haya vencido el plazo de conservación de los datos personales;

5) El tratamiento afecte derechos fundamentales o libertades individuales;

6) Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna; o,

7) Exista obligación legal.

El responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del titular y será gratuito.

Artículo 16.- Derecho de oposición

El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:

1) No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.

2) El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.

3) Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario.

El responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.

Esta solicitud deberá ser atendida dentro del plazo de quince (15) días

Artículo 17.- Derecho a la portabilidad

El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. La Autoridad de Protección de Datos Personales deberá dictar la normativa para el ejercicio del derecho a la portabilidad.

El titular podrá solicitar que el responsable del tratamiento realice la transferencia o comunicación de sus datos personales a otro responsable del tratamiento en cuanto fuera técnicamente posible y sin que el responsable pueda aducir impedimento de cualquier orden con el fin de ralentizar el acceso, la transmisión o reutilización de datos por parte del titular o de otro responsable del tratamiento. Luego de completada la transferencia de datos, el responsable que lo haga procederá a su eliminación, salvo que el titular disponga su conservación. El responsable que ha recibido la información asumirá las responsabilidades contempladas en esta Ley. Para que proceda el derecho a la portabilidad de datos es necesario que se produzca al menos una de las siguientes condiciones:

1) Que el titular haya otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. La transferencia o comunicación se hará entre responsables del tratamiento de datos personales cuando la operación sea técnicamente posible; en caso contrario los datos deberán ser transmitidos directamente al titular.

2) Que el tratamiento se efectúe por medios automatizados;

3) Que se trate de un volumen relevante de datos personales, según los parámetros definidos en el reglamento de la presente ley; o,

4) Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos del responsable o encargado del tratamiento de datos personales, o del titular en el ámbito del derecho laboral y seguridad social.

Esta transferencia o comunicación debe ser económica y financieramente eficiente, expedita y sin trabas.

No procederá este derecho cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable del tratamiento de datos personales con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

Artículo 18.- Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad

Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad. No proceden los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad, en los siguientes casos:

1) Si el solicitante no es el titular de los datos personales o su representante legal no se encuentre debidamente acreditado;

2) Cuando los datos son necesarios para el cumplimiento de una obligación legal o contractual;

3) Cuando los datos son necesarios para el cumplimiento de una orden judicial, resolución o mandato motivado de autoridad pública competente;

4) Cuando los datos son necesarios para la formulación, ejercicio o defensa de reclamos o recursos;

5) Cuando se pueda causar perjuicios a derechos o afectación a intereses legítimos de terceros y ello sea acreditado por el Responsable de la base de datos al momento de dar respuesta al titular a su solicitud de ejercicio del derecho respectivo;

6) Cuando se pueda obstaculizar actuaciones judiciales o administrativas en curso, debidamente notificadas;

7) Cuando los datos son necesarios para ejercer el derecho a la libertad de expresión y opinión;

8) Cuando los datos son necesarios para proteger el interés vital del interesado o de otra persona natural;

9) En los casos en los que medie el interés público, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

10) En el tratamiento de datos personales que sean necesarios para el archivo de información que constituya patrimonio del Estado, investigación científica, histórica o estadística.

Artículo 19.- Derecho a la suspensión del tratamiento

El titular tendrá derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las condiciones siguientes:

1) Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos;

2) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

3) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y,

4) Cuando el interesado se haya opuesto al tratamiento en virtud del artículo 31 de la presente ley, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

De existir negativa por parte del responsable o encargado del tratamiento de datos personales, y el titular recurra por dicha decisión ante la Autoridad de Protección de Datos Personales, esta suspensión se extenderá hasta la resolución del procedimiento administrativo.

Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos, deberá colocarse en la base de datos, en donde conste la información impugnada, que ésta ha sido objeto de inconformidad por parte del titular. El responsable de tratamiento podrá tratar los datos personales, que han sido objeto del ejercicio del presente derecho por parte del titular, únicamente, en los siguientes supuestos: para la formulación, el ejercicio o la defensa de reclamaciones; con el objeto de proteger los derechos de otra persona natural o jurídica o por razones de interés público importante.

Artículo 20.- Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

El titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, para lo cual podrá:

a. Solicitar al responsable del tratamiento una explicación motivada sobre la decisión tomada por el responsable o encargado del tratamiento de datos personales;

b. Presentar observaciones;

c. Solicitar los criterios de valoración sobre el programa automatizado; o,

d. Solicitar al responsable información sobre los tipos de datos utilizados y la fuente de la cual han sido obtenidos los mismos; e. Impugnar la decisión ante el responsable o encargado del tratamiento

No se aplicará este derecho cuando:

1. La decisión es necesaria para la celebración o ejecución de un contrato entre el titular y el responsable o encargado del tratamiento de datos personales;

2. Está autorizada por la normativa aplicable, orden judicial, resolución o mandato motivado de autoridad técnica competente, para lo cual se deberá establecer medidas adecuadas para salvaguardar los derechos fundamentales y libertades del titular; o,

3. Se base en el consentimiento explicito del titular.

4. La decisión no conlleve impactos graves o riesgos verificables para el titular. No se podrá exigir la renuncia a este derecho en forma adelantada a través de contratos de adhesión masivos.

A más tardar en el momento de la primera comunicación con el titular de los datos personales, para informar una decisión basada únicamente en valoraciones automatizadas, este derecho le será informado explícitamente por cualquier medio idóneo.

Artículo 21.- Derecho de niñas, niños y adolescentes a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

Además de los presupuestos establecidos en el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal; o, cuando dicho tratamiento esté destinado a salvaguardar un interés público esencial, el cual se evalúe en atención a los estándares internacionales de derechos humanos, y como mínimo satisfaga los criterios de legalidad, proporcionalidad y necesidad, y además incluya salvaguardas específicas para proteger los derechos fundamentales de los interesados. Los adolescentes, en ejercicio progresivo de sus derechos, a partir de los 15 años, podrán otorgar, en calidad de titulares, su consentimiento explícito para el tratamiento de sus datos personales, siempre que se les especifique con claridad sus fines.

Artículo 22.- Derecho de consulta

Las personas tienen derecho a la consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales, de conformidad con la presente Ley.

Artículo 23. Derecho a la educación digital

Las personas tienen derecho al acceso y disponibilidad del conocimiento, aprendizaje, preparación, estudio, formación, capacitación, enseñanza e instrucción relacionados con el uso y manejo adecuado, sano, constructivo, seguro y responsable de las tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana, los derechos fundamentales y libertades individuales con especial énfasis en la intimidad, la vida privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el derecho a la protección de datos personales, así como promover una cultura sensibilizada en el derecho de protección de datos personales.

El derecho a la educación digital tendrá un carácter inclusivo sobre todo en lo que respecta a las personas con necesidades educativas especiales.

El sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo incluir dicha temática en su proceso de formación.

Artículo 24.- Ejercicio de derechos

El Estado, entidades educativas, organizaciones de la sociedad civil, proveedores de servicios de la sociedad de la información y el conocimiento, y otros entes relacionados, dentro del ámbito de sus relaciones, están obligados a proveer información y capacitación relacionadas con el uso y tratamiento responsable, adecuado y seguro de datos personales de niñas, niños y adolescentes, tanto a sus titulares como a sus representantes legales, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Los adolescentes mayores de doce (12) años y menores de quince (15) años, así como las niñas y niños, para el ejercicio de sus derechos necesitarán de su representante legal. Los adolescentes mayores de quince (15) años y menores de dieciocho (18) años, podrán ejercitarlos de forma directa ante la Autoridad de Protección de Datos Personales o ante el responsable de la base de datos personales del tratamiento.

Los derechos del titular son irrenunciables. Será nula toda estipulación en contrario.

CAPÍTULO IV. CATEGORÍAS ESPECIALES DE DATOS

Artículo 25.- Categorías especiales de datos personales

Se considerarán categorías especiales de datos personales, los siguientes:

a) Datos sensibles;

b) Datos de niñas, niños y adolescentes;

c) Datos de salud; y,

d) Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad.

Artículo 26.- Tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias:

a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificandose claramente sus fines.

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social.

c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.

d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos.

e) El tratamiento se lo realiza por orden de autoridad judicial.

f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular.

g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente ley.

Artículo 27.- Datos personales de personas fallecidas

Los titulares de derechos sucesorios de las personas fallecidas, podrán dirigirse al responsable del tratamiento de datos personales con el objeto de solicitar el acceso, rectificación y actualización o eliminación de los datos personales del causante, siempre que el titular de los datos no haya, en vida, indicado otra utilización o destino para sus datos.

Las personas o instituciones que la o el fallecido haya designado expresamente para ello, podrán también solicitar con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste; y, en su caso, su rectificación, actualización o eliminación.

En caso de fallecimiento de niñas, niños, adolescentes o personas que la ley reconozca como incapaces, las facultades de acceso, rectificación, actualización o eliminación, podrán ser ejercidas por quien hubiese sido su último representante legal. El Reglamento a la presente ley establecerá los mecanismos para el ejercicio de las facultades enunciadas en el presente artículo.

Artículo 28.- Datos crediticios

Salvo prueba en contrario será legítimo y lícito el tratamiento de datos destinados a informar sobre la solvencia patrimonial o crediticia, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor. Tales datos pueden ser utilizados solamente para esa finalidad de análisis y no serán comunicados o difundidos, ni podrán tener cualquier finalidad secundaria.

La protección de datos personales crediticios se sujetará a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales.

Sin perjuicio de lo anterior, en ningún caso podrán comunicarse los datos crediticios relativos a obligaciones de carácter económico, financiero, bancario o comercial una vez transcurridos cinco años desde que la obligación a la que se refieran se haya hecho exigible.

Artículo 29- Derechos de los Titulares de Datos Crediticios

1. Sin perjuicio de los derechos reconocidos en esta Ley, los Titulares de Datos Crediticios tienen los siguientes derechos:

a) Acceder de forma personal a la información de la cual son titulares;

b) Que el reporte de crédito permita conocer de manera clara y precisa la condición en que se encuentra su historial crediticio; y,

c) Que las fuentes de información actualicen, rectifiquen o eliminen, según el caso, la información que fuese ilícita, falsa, inexacta, errónea, incompleta o caduca

2. Sobre el derecho de acceso por el Titular del Dato Crediticio, éste será gratuito, cuantas veces lo requiera, respecto de la información que sobre sí mismos esté registrada ante los prestadores de servicios de referencia crediticia y a través de los siguientes mecanismos:

a) Observación directa a través de pantallas que los prestadores del servicio de referencia crediticia pondrán a disposición de dichos titulares; y,

b) Entrega de impresiones de los reportes que a fin de que el Titular del Dato Crediticio compruebe la veracidad y exactitud de su contenido, sin que pueda ser utilizado con fines crediticios o comerciales.

3. Sobre los derechos de actualización, rectificación o eliminación, el Titular del Dato Crediticio podrá exigir estos derechos frente a las fuentes de información mediante solicitud escrita. Las fuentes de información, dentro del plazo de quince días de presentada la solicitud, deberán resolverla admitiéndola o rechazándola motivadamente. El Titular del Dato Crediticio tiene derecho a solicitar a los prestadores del servicio de referencias crediticias que, en tanto se sigue el proceso de revisión, señalen en los reportes de crédito que emitan, que la información materia de la solicitud está siendo revisada a pedido del titular.

Artículo 30.- Datos relativos a la salud

Las instituciones que conforman el Sistema Nacional de Salud y los profesionales de la salud pueden recolectar y tratar los datos relativos a la salud de sus pacientes que estén o hubiesen estado bajo tratamiento de aquellos, de acuerdo a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales en coordinación con la autoridad sanitaria nacional. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento. No se requerirá el consentimiento del titular para el tratamiento de datos de salud cuando ello sea necesario por razones de interés público esencial en el ámbito de la salud, el que en todo caso deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular; Asimismo, tampoco se requerirá el consentimiento del titular cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como en el caso de amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, siempre y cuando se establezcan medidas adecuadas y específicas para proteger los derechos y libertades del titular y, en particular, el secreto profesional.

Artículo 31.- Tratamiento de datos relativos a la salud

Todo tratamiento de datos relativos a la salud deberán cumplir con los siguientes parámetros mínimos y aquellos que determine la Autoridad de Protección de Datos Personales en la normativa emitida para el efecto:

1. Los datos relativos a la salud generados en establecimientos de salud públicos o privados, serán tratados cumpliendo los principios de confidencialidad y secreto profesional. El titular de la información deberá brindar su consentimiento previo conforme lo determina esta Ley, salvo en los casos en que el tratamiento sea necesario para proteger intereses vitales del interesado, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; o sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de la legislación especializada sobre la materia o en virtud de un contrato con un profesional sanitario. En este último caso el tratamiento sólo podrá ser realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con la legislación especializada sobre la materia o con las demás normas que al respecto pueda establecer la Autoridad.

2. Los datos relativos a la salud que se traten, siempre que sea posible, deberán ser previamente anonimizados o seudonimizados, evitando la posibilidad de identificar a los titulares de los mismos.

3. Todo tratamiento de datos de salud anonimizados deberá ser autorizado previamente por la Autoridad de Protección de Datos Personales. Para obtener la autorización mencionada, el interesado deberá presentar un protocolo técnico que contenga los parámetros necesarios que garanticen la protección de dichos datos y el informe previo favorable emitido por la Autoridad Sanitaria.

Artículo 32.- Tratamiento de datos de salud por entes privados y públicos con fines de investigación

Los datos relativos a salud que consten en las instituciones que conforman el Sistema Nacional de Salud, podrán ser tratados por personas naturales y jurídicas privadas y públicas con fines de investigación científica, siempre que según el caso encuentren anonimizados, o dicho tratamiento sea autorizado por la Autoridad de Protección de Datos Personales, previo informe de la Autoridad Sanitaria Nacional.

CAPÍTULO V. TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS

Artículo 33.- Transferencia o comunicación de datos personales

Los datos personales podrán transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y se cuente, además, con el consentimiento del titular. Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de datos personales el Responsable del tratamiento haya entregado información suficiente al titular que le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien se pretende transferir o comunicar dichos datos.

Artículo 34.- Acceso a datos personales por parte del encargado

No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 35.- Acceso a datos personales por parte de terceros

No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.

El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del

tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.

El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 36.- Excepciones de consentimiento para la transferencia o comunicación de datos personales

No es necesario contar con el consentimiento del titular para la transferencia o comunicación de datos personales, en los siguientes supuestos:

1) Cuando los datos han sido recogidos de fuentes accesibles al público;

2) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica entre el responsable de tratamiento y el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con base de datos. En este caso la transferencia o comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;

3) Cuando los datos personales deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la norma vigente;

4) Cuando la comunicación se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando dichos datos se encuentren debidamente disociados o a lo menos anonimizados, y,

5) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que implique intereses vitales de su titular y este se encontrare impedido de otorgar su consentimiento.

6) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para realizar los estudios epidemiológicos de interés público, dando cumplimiento a los estándares internacionales en la materia de derechos humanos, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad. El tratamiento deberá ser de preferencia anonimizado, y en todo caso agregado, una vez pasada la urgencia de interés público. Cuando sea requerido el consentimiento del titular para que sus datos personales sean comunicados a un tercero, este puede revocarlo en cualquier momento, sin necesidad de que medie justificación alguna. La presente ley obligatoriamente debe ser aplicada por el destinatario, por el solo hecho de la comunicación de los datos; a menos que estos hayan sido anonimizados o sometidos a un proceso de

CAPÍTULO VI. SEGURIDAD DE DATOS PERSONALES

Artículo 37.- Seguridad de datos personales

El responsable o encargado del tratamiento de datos personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales, para lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos.

El responsable o encargado del tratamiento de datos personales, deberá implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales. El responsable o encargado del tratamiento de datos personales deberá evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados. Entre otras medidas, se podrán incluir las siguientes:

1) Medidas de anonimización, seudonomización o cifrado de datos personales;

2) Medidas dirigidas a mantener la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios del tratamiento de datos personales y el acceso a los datos personales, de forma rápida en caso de incidentes; y

3) Medidas dirigidas a mejorar la resiliencia técnica, física, administrativa, y jurídica.

4) Los responsables y encargados del tratamiento de datos personales, podrán acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de Datos Personales.

Artículo 38.- Medidas de seguridad en el ámbito del sector público

El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales.

El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información.

Artículo 39.- Protección de datos personales desde el diseño y por defecto

Se entiende a la protección de datos desde el diseño como el deber del responsable del tratamiento de tener en cuenta, en las primeras fases de concepción y diseño del proyecto, que determinados tipos de tratamientos de datos personales entrañan una serie de riesgos para los derechos de los titulares en atención al estado de la técnica, naturaleza y fines del tratamiento, para lo cual, implementará las medidas técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las obligaciones en materia de protección de datos, en los términos del reglamento. La protección de datos por defecto hace referencia a que el responsable debe aplicar las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento, en los términos del reglamento.

Artículo 40.- Análisis de riesgo, amenazas y vulnerabilidades

Para el análisis de riesgos, amenazas y vulnerabilidades, el responsable y el encargado del tratamiento de los datos personales deberán utilizar una metodología que considere, entre otras:

1) Las particularidades del tratamiento;

2) Las particularidades de las partes involucradas; y,

3) Las categorías y el volumen de datos personales objeto de tratamiento.

Artículo 41.- Determinación de medidas de seguridad aplicables

Para determinar las medidas de seguridad, aceptadas por el estado de la técnica, a las que están obligadas el responsable y el encargado del tratamiento de los datos personales, se deberán tomar en consideración, entre otros:

1) Los resultados del análisis de riesgos, amenazas y vulnerabilidades;

2) La naturaleza de los datos personales;

3) Las características de las partes involucradas; y,

4) Los antecedentes de destrucción de datos personales, la pérdida, alteración, divulgación o impedimento de acceso a los mismos por parte del titular, sean accidentales e intencionales, por acción u omisión, así como los antecedentes de transferencia, comunicación o de acceso no autorizado o exceso de autorización de tales datos.

El responsable y el encargado del tratamiento de datos personales deberán tomar las medidas adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir, mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la Autoridad de Protección de Datos Personales.

Artículo 42.- Evaluación de impacto del tratamiento de datos personales

El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera. La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales;

b) tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales, o

c) observación sistemática a gran escala de una zona de acceso público.

La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.

Artículo 43.- Notificación de vulneración de seguridad

El responsable del tratamiento deberá notificar la vulneración de la seguridad de datos personales a la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, tan pronto sea posible, y a más tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la Autoridad de Protección de Datos no tiene lugar en el término de cinco (5) días, deberá ir acompañada de indicación de los motivos de la dilación. El encargado del tratamiento deberá notificar al responsable cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de ella.

Artículo 44.- Acceso a datos personales para atención a emergencias e incidentes informáticos

Las autoridades públicas competentes, los equipos de respuesta de emergencias informáticas, los equipos de respuesta a incidentes de seguridad informática, los centros de operaciones de seguridad, los prestadores y proveedores de servicios de telecomunicaciones y los proveedores de tecnología y servicios de seguridad, nacionales e internacionales, podrán acceder y efectuar tratamientos sobre los datos personales contenidos en las notificaciones de vulneración a las seguridades, durante el tiempo necesario, exclusivamente para la detección, análisis, protección y respuesta ante cualquier tipo de incidentes así como para adoptar e implementar medidas de seguridad adecuadas y proporcionadas a los riesgos identificados.

Artículo 45.- Garantía del secreto de las comunicaciones y seguridad de datos personales. –

Para la correcta prestación de los servicios de telecomunicaciones y la apropiada operación de redes de telecomunicaciones, los prestadores de servicios de telecomunicaciones deben garantizar el secreto de las comunicaciones y seguridad de datos personales. Únicamente por orden judicial, los prestadores de servicios de telecomunicaciones podrán utilizar equipos, infraestructuras e instalaciones que permitan grabar los contenidos de las comunicaciones específicas dispuestas por los jueces competentes. Si se evidencia un tratamiento de grabación o interceptación de

las comunicaciones no autorizadas por orden judicial, se aplicará lo dispuesto en la presente Ley.

Artículo 46.- Notificación de vulneración de seguridad al titular

El responsable del tratamiento deberá notificar sin dilación la vulneración de seguridad de datos personales al titular cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales, dentro del término de tres días contados a partir de la fecha en la que tuvo conocimiento del riesgo. No se deberá notificar la vulneración de seguridad de datos personales al titular en los siguientes casos:

1. Cuando el responsable del tratamiento haya adoptado medidas de protección técnicas organizativas o de cualquier otra índole apropiadas aplicadas a los datos personales afectados por la vulneración de seguridad que se pueda demostrar que son efectivas;

2. Cuando el responsable del tratamiento haya tomado medidas que garanticen que el riesgo para los derechos fundamentales y las libertades individuales del titular, no ocurrirá; y,

3. Cuando se requiera un esfuerzo desproporcionado para hacerlo; en cuyo caso, el responsable del tratamiento deberá realizar una comunicación pública a través de cualquier medio en la que se informe de la vulneración de seguridad de datos personales a los titulares. La procedencia de las excepciones de los numerales 1 y 2 deberá ser calificada por la Autoridad de Protección de Datos, una vez informada esta tan pronto sea posible, y en cualquier caso dentro de los plazos contemplados en el Artículo 43. La notificación al titular del dato objeto de la vulneración de seguridad contendrá lo señalado en el artículo 43 de esta ley.

En caso de que el responsable del tratamiento de los datos personales no cumpliese oportunamente y de modo justificado con la notificación será sancionado conforme al régimen sancionatorio previsto en esta ley. La notificación oportuna de la violación por parte del responsable de tratamiento al titular y la ejecución oportuna de medidas de respuesta, serán consideradas atenuante de la infra

CAPÍTULO VII. DEL RESPONSABLE, ENCARGO Y DELEGADO DE PROTECCIÓN DE DATOS PERSONALES

Artículo 47.- Obligaciones del responsable y encargado del tratamiento de datos personales

El responsable del tratamiento de datos personales está obligado a:

1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas implementadas;

4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;

5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;

6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;

7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;

8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;

9) Implementar la protección de datos personales desde el diseño y por defecto;

10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;

12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;

14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,

15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.

El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente ley y su reglamento.

Artículo 48.- Delegado de protección de datos personales

Se designará un delegado de protección de datos personales en los siguientes casos:

1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;

2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;

3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta ley; y,

4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.

La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.

Artículo 49.- Funciones del delegado de protección de datos personales

El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:

1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

2) Supervisar el cumplimiento de las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;

4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,

5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.

En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.

Artículo 50.- Consideraciones especiales para el delegado de protección de datos personales

Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:

1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;

2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;

3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;

4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones;

5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado;

6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,

7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones.

Siempre que no exista conflicto con las responsabilidades establecidas en la presente ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.

Artículo 51.- Registro Nacional de protección de datos personales

El responsable del tratamiento de datos personales deberá reportar y mantener actualizada la información ante la Autoridad de Protección de Datos Personales, sobre lo siguiente:

1) Identificación de la base de datos o del tratamiento;

2) El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;

3) Características y finalidad del tratamiento de datos personales;

4) Naturaleza de los datos personales tratados;

5) Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la presente ley y normativa especializada;

8) Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;

9) Tiempo de conservación de los datos;

CAPÍTULO VIII. DE LA RESPONSABILIDAD PROACTIVA

Artículo 52.- Autorregulación

Los responsables y encargados de tratamiento de datos personales podrán, de manera voluntaria, acogerse o adherirse a códigos de conducta, certificaciones, sellos y marcas de protección, cláusulas tipo, sin que esto constituya eximente de la responsabilidad de cumplir con las disposiciones de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia.

Artículo 53.- Códigos de conducta

La Autoridad de Regulación y Control promoverá la elaboración de códigos de conducta por sectores, industrias, empresas, organizaciones, que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos. Los códigos de conducta deberán tomar en cuenta las necesidades específicas de los sectores en los que se efectúe tratamiento de datos personales, así como cumplir con los requisitos que se determinen en la normativa secundaria y con las disposiciones previstas en la presente Ley, para su aprobación por la Autoridad de Regulación y Control.

Los responsables o encargados de tratamiento de datos personales interesados podrán adherirse e implementar los códigos de conducta aprobados, para lo cual seguirán el procedimiento establecido en el Reglamento a la presente Ley.

Artículo 54.- Entidades de Certificación

En materia de protección de datos personales las Entidades de Certificación, de manera no exclusiva y en concordancia con el artículo 52, podrán:

1) Emitir certificaciones de cumplimiento de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia;

2) Emitir sellos de protección de datos personales;

3) Llevar a cabo auditorías de protección de datos personales, y,

4) Certificar los procesos de transferencias internacionales de datos personales. Los resultados de las auditorías podrán ser considerados como elementos probatorios dentro de los procesos sancionatorios.

CAPÍTULO IX TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES

Artículo 55.- Transferencia o comunicación internacional de datos personales

La transferencia o comunicación internacional de datos personales será posible si se sujeta a lo previsto en el presente capítulo, la presente Ley o la normativa especializada en la materia, propendiendo siempre al efectivo ejercicio del derecho a la protección de datos personales.

Artículo 56.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

Por principio general se podrán transferir o comunicar datos personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento a la ley. Cuando resulte necesario por la naturaleza de la transferencia, la Autoridad de Protección de Datos Personales podrá implementar métodos de control ex post que serán definidos en el Reglamento a la Ley. También establecerá acciones conjuntas entre las autoridades de ambos países con el objeto de prevenir, corregir o mitigar el tratamiento indebido de datos en ambos países. Para declarar de nivel adecuado de protección a países u organizaciones, la Autoridad de Protección de Datos Personales emitirá resolución motivada, en la que se establezca que la transferencia o comunicación internacional de datos personales cumple niveles adecuados de protección o de garantías adecuadas de protección, conforme a lo establecido en esta ley y su reglamento.

Artículo 57.- Transferencia o comunicación mediante garantías adecuadas

En caso de realizar una transferencia internacional de datos a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, se podrá realizar la referida transferencia internacional siempre que el responsable o encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular, para lo cual se deberá observar lo siguiente: a. Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos personales en un estándar igual o mayor a la normativa ecuatoriana vigente.

b. Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad permanente de acciones administrativas o judiciales; y, c. El derecho a solicitar la reparación integral, de ser el caso. Para que ello ocurra, la transferencia internacional de datos personales se sustentará en un instrumento jurídico que contemple los estándares antes determinados, así como aquellos que establezca la Autoridad de Protección de Datos Personales, el mismo que deberá ser vinculante.

Artículo 58. Normas corporativas vinculantes

Los responsables o encargados del tratamiento de datos personales podrán presentar a la Autoridad de Protección de Datos Personales, normas corporativas vinculantes, específicas y aplicadas al ámbito de su actividad, las cuales deberán cumplir las siguientes condiciones:

1. Será de obligatorio cumplimiento para el responsable del tratamiento y para la empresa a la que eventualmente transfieran datos personales.

2. Brindar a los titulares los mecanismos adecuados para el ejercicio de sus derechos relacionados al tratamiento de sus datos personales observando las disposiciones de la presente ley;

3. Incluir una enunciación detallada de las empresas filiales que, además del responsable del tratamiento, pertenecen al mismo grupo empresarial. Además, se incluirá la estructura y los datos del contacto del grupo empresarial o joint venture, dedicadas a una actividad económica conjunta y de cada uno de sus miembros.

4. Incluir el detalle de las empresas encargadas del tratamiento de datos personales, las categorías de datos personales a ser utilizados. así como el tipo de tratamiento a realizarse y su finalidad;

5. Observar en su contenido todas las disposiciones de la presente ley referentes a principios de tratamiento de datos personales, medidas de seguridad de datos, requisitos respecto a transferencia o comunicación internacional y transferencia o comunicación ulterior a organismos no sujetos a normas corporativas vinculantes;

6. Contener la aceptación por parte del responsable o del encargado del tratamiento de los datos personales, o de cualquier miembro de su grupo empresarial sobre su responsabilidad por cualquier violación de las normas corporativas vinculantes. El responsable o encargado del tratamiento de datos personales no será responsable si demuestra que el acto que originó la violación no le es imputable;

7. Incluir los mecanismos en que se facilita al titular la información clara y completa, respecto a las normas corporativas vinculantes;

8. Incluir las funciones de todo delegado de protección de datos designado de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o del joint venture dedicadas a una actividad económica conjunta bajo un mismo control así como los mecanismos y procesos de supervisión y tramitación de reclamaciones;

9. Enunciar de forma detallada los mecanismos establecidos en el grupo empresarial o empresas afiliadas que permitan al titular verificar efectivamente el cumplimiento de las normas corporativas vinculantes. Entre estos mecanismos se incluirán auditorías de protección de datos, y aquellos métodos técnicos que brinden acciones correctivas para proteger los derechos del titular. Los resultados de las auditorías serán comunicadas al delegado de protección de datos designado de conformidad con la presente ley, o cualquier otra entidad o persona encargada del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o empresas afiliadas dedicadas a una actividad económica conjunta y al Directorio de la empresa que controla un grupo empresarial, y a disposición de la Autoridad de protección de datos personales;

10. Incluir los mecanismos para cooperar de forma coordinada con la autoridad de protección de datos personales y el responsable del tratamiento de los datos personales; y,

11. Incluir la declaración y compromiso del responsable del tratamiento de los datos personales de promover la protección de datos personales entre sus empleados con formación continua. La Autoridad de Protección de Datos Personales definirá el formato y los procedimientos para la transferencia o comunicación de datos realizada por parte de los responsables, los encargados y las autoridades de control en lo relativo a la aplicación de las normas corporativas vinculantes a las que se refiere este artículo. Cualquier cambio a ser realizado a estas normas deberá ser notificado a la autoridad de protección de datos personales y al titular conforme a los mecanismos señalados por el responsable de tratamiento en su solicitud.

Artículo 59.- Autorización para transferencia internacional

Para todos aquellos casos no contemplados en los artículos precedentes, en los que se pretenda realizar una transferencia internacional de datos personales, se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de datos de carácter personal, según lo determinado en el Reglamento de aplicación a la presente Ley. Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales deberá ser registradas previamente en el Registro Nacional de Protección de Datos Personales por parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento establecido en el Reglamento de aplicación a la presente Ley.

Artículo 60. Casos excepcionales de transferencias o comunicaciones internacionales

Sin perjuicio de lo establecido en los artículos precedentes se podrá realizar transferencias o comunicaciones internacionales de datos personales, en los siguientes casos:

1. Cuando los datos personales sean requeridos para el cumplimiento de competencias institucionales, de conformidad con la normativa aplicable;

2. Cuando el titular haya otorgado su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas.

3. Cuando la transferencia internacional tenga como finalidad el cumplimiento de una obligación legal o regulatoria;

4. Cuando la transferencia internacional de datos personales sea necesaria para la ejecución de un contrato entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular;

5. Cuando la transferencia sea necesaria por razones de interés público.

6. Cuando la transferencia internacional sea necesaria para la colaboración judicial internacional.

7. Cuando la transferencia internacional sea necesaria para la cooperación dentro de la investigación de infracciones.

8. Cuando la transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados;

9. Cuando se realicen transferencias de datos en operaciones bancarias y bursátiles.

10. Cuando la transferencia internacional de datos personales sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,

11. Cuando la transferencia internacional de datos personales sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 61.- Control continuo

La Autoridad de Protección de Datos Personales en acciones conjuntas con la academia, realizará reportes continuos sobre la realidad internacional en materia de protección de datos personales. Dichos estudios servirán como elemento de control continuo del nivel adecuado de protección de datos personales de los países u organizaciones que ostenten tal reconocimiento. En caso de detectarse que un país u organización ya no cumple con un nivel adecuado de protección conforme los principios, derechos y obligaciones desarrollados en la presente Ley, la Autoridad de Protección de Datos Personales procederá a emitir la correspondiente resolución de no adecuación, a partir de la cual no procederán transferencias de datos personales, salvo que operen otros mecanismos de transferencia conforme lo dispuesto en el presente capítulo. La Autoridad de Protección de Datos Personales publicará en cualquier medio, de forma permanente y debidamente la lista de países, organizaciones, empresas o grupos económicos que garanticen niveles adecuados de protección de datos personales.

CAPÍTULO X. DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO

Artículo 62.- Requerimiento directo del titular del dato de carácter personal al responsable del tratamiento

El titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales puestos a su disposición por parte del responsable del tratamiento de los datos personales, presentar requerimientos, peticiones, quejas o reclamaciones directamente al responsable del tratamiento, relacionadas con el ejercicio de sus derechos, la aplicación de principios y el cumplimiento de obligaciones por parte del responsable del tratamiento, que tengan relación con él.

Presentado el requerimiento ante el responsable este contará con un término de diez (10) días para contestar afirmativa o negativamente, notificar y ejecutar lo que corresponda.

Artículo 63.- Actuaciones previas

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 64.- Procedimiento administrativo

En el caso de que el responsable del tratamiento no conteste el requerimiento, en el término establecido en la presente ley, o éste fuere negado, el titular podrá presentar el correspondiente reclamo administrativo ante la Autoridad de Protección de Datos Personales, para lo cual se deberá estar conforme al procedimiento establecido en el Código Orgánico Administrativo, la presente ley y demás normativa emitida por la Autoridad de Protección de Datos Personales. Sin perjuicio, el titular podrá presentar acciones civiles, penales o constitucionales de las que se crea asistido.

CAPÍTULO XI. MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO

Artículo 65.- Medidas correctivas

En caso de incumplimiento de las disposiciones previstas en la presente Ley, su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia, o transgresión a los derechos y principios que componen al derecho a la protección de datos personales, la Autoridad de Protección de Datos Personales dictará medidas correctivas con el objeto de evitar que se siga cometiendo la infracción y que la conducta se produzca nuevamente, sin perjuicio de la aplicación de las correspondientes sanciones administrativas. Las medidas correctivas podrán consistir, entre otras, en:

1) El cese del tratamiento, bajo determinadas condiciones o plazos;

2) La eliminación de los datos; y

3) La imposición de medidas técnicas, jurídicas, organizativas o administrativas a garantizar un tratamiento adecuado de datos personales.

La Autoridad de Protección de Datos Personales, en el marco de esta Ley, dictará, para cada caso, las medidas correctivas, previo informe de la unidad técnica competente, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia.

Artículo 66.- Aplicación de medidas correctivas

La Autoridad de Protección de Datos Personales, en el marco de esta ley, previo informe de la unidad técnica competente, aplicará para cada caso las medidas correctivas citadas en el artículo anterior, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. Para la aplicación de las medidas correctivas se seguirán las siguientes reglas:

1. En el caso de que los responsables, encargados de tratamiento de datos personales y organismos de certificación y de ser el caso, a terceros, se encuentran incursos en el presunto cometimiento de una infracción leve y estos consten dentro del Registro Único de responsables y encargados incumplidos; la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio, haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

2. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción grave; la Autoridad de Protección de Datos Personales; aplicará en primera instancia medidas correctivas. Si las medidas correctivas fueren cumplidas de forma tardía, parcial o defectuosa, la Autoridad de Protección de Datos Personales, aplicará las sanciones que corresponden a las infracciones graves, activando para el efecto el procedimiento administrativo sancionatorio y haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

3. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción muy grave, la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida.

Sección 1ª. De las infracciones del Responsable de protección de datos

Artículo 67.- Infracciones leves del Responsable de protección de datos

Se consideran infracciones leves las siguientes:

1. No tramitar, tramitar fuera del término previsto o negar injustificadamente las peticiones o quejas realizadas por el titular;

2. No implementar protección de datos desde el diseño y por defecto;

3. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

4. Elegir un encargado del tratamiento de datos personales que no ofrezca garantías suficientes para hacer efectivo el ejercicio del derecho a la protección de datos personales;

5. Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes:

1) No implementar medidas administrativas, técnicas y físicas, organizativas y jurídicas, a fin de garantizar el tratamiento de datos personales que realice conforme la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) Utilizar información o datos para fines distintos a los declarados;

3) Ceder o comunicar datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley y su reglamento, directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

4) No utilizar metodologías de análisis y gestión de riesgos adaptadas a la naturaleza de los datos personales ,las particularidades del tratamiento y de las partes involucradas;

5) No realizar evaluaciones de impacto al tratamiento de datos en los casos en que era necesario realizarlas;

6) No implementar medidas técnicas organizativas o de cualquier índole necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones a la seguridad de datos personales que hayan sido identificadas;

7) No notificar a la Autoridad de Protección de Datos Personales y al titular, de vulneraciones a la seguridad y protección de datos personales, cuando afecte los derechos fundamentales y libertades individuales de los titulares;

8) No notificar a la Autoridad de Protección de Datos Personales del titular las vulneraciones de seguridad y protección de datos personales, cuando exista afectación a los derechos fundamentales y libertades individuales de los titulares;

9) No suscribir contratos que incluyan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

10) No mantener actualizado el Registro Nacional de protección de datos personales de conformidad a lo dispuesto en la presente ley su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

11) No consignar en el Registro Nacional de Protección de Datos Personales lo dispuesto en la presente ley y su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

12) No designar al delegado de protección de datos personales cuando corresponda;

13) No permitir y no contribuir a la realización de auditorías o inspecciones por parte del auditor acreditado por la Autoridad de Protección de Datos Personales; y,

14) Incumplir las medidas correctivas o cumplir de forma tardía, parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve, o incurrir de forma reiterada en faltas leves.

Sección 2ª. De las infracciones del Encargado de protección de datos

Artículo 69.- Infracciones leves del Encargado de protección de datos

Se consideran infracciones leves las siguientes:

1) No colaborar con el responsable del tratamiento datos personales, para que este cumpla con su obligación de atender solicitudes que tengan por objeto el ejercicio de los derechos del titular frente al tratamiento de sus datos personales;

2) No facilitar el acceso al responsable del tratamiento de datos personales a toda la información referente al cumplimiento de las obligaciones establecidas en la presente Ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia;

3) No permitir o no contribuir a la realización de auditorías o inspecciones, por parte del responsable del tratamiento de datos personales o de otro auditor autorizado por la Autoridad de Protección de Datos Personales; y,

4) Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 70.- Infracciones graves del Encargado de protección de datos

Se consideran infracciones graves las siguientes:

1) Realizar tratamientos de datos personales sin observar los principios y derechos desarrollados en la presente Ley y su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) No tratar datos personales de conformidad con lo previsto en el contrato que mantenga con el responsable del tratamiento de datos personales inclusive en lo que respecta a la transferencia o comunicación internacional;

3) No suscribir contratos que contengan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el personal a cargo del tratamiento de datos personales o quien tenga conocimiento de los datos personales;

4) No implementar mecanismos destinados a mantener la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales;

5) No implementar medidas preventivas y correctivas en la seguridad de los datos personales a fin de evitar vulneraciones;

6) No suprimir los datos personales transferidos o comunicados al responsable del tratamiento de los datos personales, una vez haya culminado su encargo;

7) Proceder a la comunicación de datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley, su reglamento directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

8) Incumplir las medidas correctivas o cumplirlas de forma tardía parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve; y,

9) No notificar al responsable del tratamiento de datos personales sobre cualquier vulneración de la seguridad de datos personales conforme dispone esta ley o hacerlo con retraso injustificado.

Artículo 71.- Sanciones por infracciones leves

La Autoridad de Protección de Datos Personales impondrá las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción leve, según las siguientes reglas:

1. Servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones leves establecidas en la presente ley, serán sancionados con una multa de uno (1) a diez (10) salarios básicos unificados del trabajador en general, sin perjuicio de la responsabilidad extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

2. Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir cuando el responsable, el encargado del tratamiento de datos personales o de ser el caso un tercero, hubiese sido previamente sancionado por dos o más infracciones precedentes, que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

Artículo 72.- Sanciones por infracciones graves

La Autoridad de Protección de Datos Personales impondrán las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción grave, conforme a los presupuestos establecidos en el presente Capítulo: Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves establecidas en la presente ley serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general; sin perjuicio de la Responsabilidad Extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

1) Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0.7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir, cuando el responsable, encargado del tratamiento de datos personales o de ser el caso, de un tercero hubiese sido previamente sancionado por dos o más infracciones precedentes que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

En el caso de que el responsable, encargado del tratamiento de datos personales a un tercero de ser el caso; sea una organización sin domicilio ni representación jurídica en el territorio ecuatoriano, se deberá notificar de la resolución con la cual se establezca la infracción cometida la Autoridad de Protección de Datos Personales, o quien hiciera sus veces, del lugar en donde dicha organización tiene su domicilio principal, a fin de que sea dicho organismo quien sustancia las acciones o procedimientos destinados al cumplimiento de las medidas correctivas y sanciones a las que hubiere lugar.

Artículo 73.- Volumen de negocio

A efectos del régimen sancionatorio de la presente ley, se entiende por volumen de negocio, a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.

Artículo 74.- Medidas provisionales o cautelares

La Autoridad de Protección de Datos Personales podrá aplicar medidas provisionales de protección o medidas cautelares contempladas en la norma procedimental administrativa.

CAPÍTULO XII. AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES

Artículo 75.- Autoridad de protección de datos personales

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 76.- Funciones atribuciones y facultades

La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades:

1) Ejercer la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales;

2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley;

3) Conocer, sustanciar y resolver los reclamos interpuestos por el titular o aquellos iniciados de oficio, así como aplicar las sanciones correspondientes;

4) Realizar o delegar auditorías técnicas al tratamiento de datos personales;

5) Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales;

6) Crear, dirigir y administrar el Registro Nacional de Protección de Datos Personales, así como coordinar las acciones necesarias con entidades del sector público y privado para su efectivo funcionamiento;

7) Promover una coordinación adecuada y eficaz con los encargados de la rendición de cuentas y participar en iniciativas internacionales y regionales para la protección de la protección de los datos personales;

8) Dictar las cláusulas estándar de protección de datos, así como verificar el contenido de las cláusulas o garantías adicionales o específicas;

9) Atender consultas en materia de protección de datos personales;

10) Ejercer el control y emitir las resoluciones de autorización para la transferencia internacional de datos;

11) Ejercer la representación internacional en materia de protección de datos personales;

12) Emitir directrices para el diseño y contenido de la política de tratamiento de datos personales;

13) Establecer directrices para el análisis evaluación y selección de medidas de seguridad de los datos personales;

14) Llevar un registro estadístico sobre vulneraciones a la seguridad de datos personales e identificar posibles medidas de seguridad para cada una de ellas;

15) Publicar periódicamente una guía de la normativa relativa a la protección de datos personales;

16) Promover e incentivar el ejercicio del derecho a la protección de datos personales, así como la concientización en las personas y la comprensión de los riesgos, normas, garantías y derechos, en relación con el tratamiento y uso de sus datos personales, con especial énfasis en actividades dirigidas a grupos de atención prioritaria tales como niñas niños y adolescentes;

17) Controlar y supervisar el ejercicio del derecho a la protección de datos personales dentro del tratamiento de datos llevado a cabo a través del Sistema Nacional de Registros Públicos; y,

18) Las demás atribuciones establecidas en la normativa vigente.

Artículo 77.- Del titular de la Autoridad de Protección de Datos

El Superintendente de Protección de Datos será designado de acuerdo a lo establecido en la Constitución de la República, de la terna que remita la Presidente o Presidente de la República, siguiendo criterios de especialidad y méritos; se sujetará a escrutinio público y derecho de impugnación ciudadana.

El Superintendente de Protección de Datos deberá ser un profesional del Derecho, de Sistemas de Información, de Comunicación o de Tecnologías, con título de cuarto nivel y experiencia de al menos 10 años con áreas afines a la materia objeto de regulación de esta ley.

Ejercerá sus funciones por un período de 5 años y únicamente cesará en sus funciones por las causales establecidas en la ley que regula el servicio público que le sean aplicables o por destitución, luego de enjuiciamiento político realizado por la Asamblea Nacional.

DISPOSICIONES GENERALES

PRIMERA

En lo dispuesto al procedimiento administrativo se estará a lo previsto en el Código Orgánico Administrativo.

SEGUNDA

En el ámbito del derecho de acceso a la información pública son aplicables las disposiciones de las leyes de la materia.

TERCERA

En el ámbito de los datos personales registrables, son aplicables las disposiciones de las leyes de la materia.

CUARTA

La Autoridad de Protección de Datos Personales será responsable de coordinar las acciones necesarias con entidades del sector público y privado para el efectivo funcionamiento del Registro Nacional de Protección de Datos Personales.

QUINTA

La Autoridad de Protección de Datos Personales será responsable de presentar informes anuales de evaluación y revisión de la presente Ley, a la ciudadanía.

SEXTA

Créase el Registro Único de Responsables y Encargados Incumplidos, en el cual se llevará un registro de los Responsables y Encargados del Tratamiento de Datos Personales, que hayan incurrido en una de las infracciones establecidas en la presente Ley; mismo que tendrá fines sociales, estadísticos, preventivos y de capacitación, cuyo funcionamiento estará establecido en el Reglamento de la Ley de Protección de Datos Personales.

SÉPTIMA

El ejercicio de los derechos reconocidos en la presente norma podrá ser exigido por el titular independientemente de la entrada en vigor del régimen sancionatorio.

OCTAVA

Ninguna entidad pública o privada, podrá cobrar valores por servicios de entrega de información sustentada en datos del solicitante de los mismos.

NOVENA

Se procurará que en lo referente a los pueblos y nacionalidades indígenas, el tratamiento de sus datos personales sea en sus idiomas y lenguas ancestrales.

DISPOSICIONES TRANSITORIAS

PRIMERA

Las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta ley en el Registro Oficial, en el transcurso de este tiempo los responsables y encargados del tratamiento de datos personales se adecuarán a los preceptos establecidos dentro de esas disposiciones, su reglamento de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales. El resto de disposiciones establecidas en esta ley entrarán en vigencia conforme se establece en la Disposición Final de esta Ley.

SEGUNDA

Todo tratamiento realizado previo a la entrada en vigencia de la presente Ley deberá adecuarse a lo previsto en la presente norma dentro del plazo de dos años contados a partir de su publicación en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

TERCERA

Los responsables y encargados del tratamiento de datos personales que hayan implementado los preceptos recogidos dentro de esta Ley antes de plazo señalado en la Disposición Transitoria Primera obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de Protección de Datos Personales.

CUARTA

La transferencia internacional de datos personales que hubiere sido realizada antes de la entrada en vigencia de la presente Ley será legítima, sin perjuicio de que el responsable del tratamiento de datos personales deba aplicar lo dispuesto en esta norma para acreditar su responsabilidad proactiva y demostrada.

El responsable de tratamiento deberá adecuar la transferencia internacional de datos personales a la presente norma en un plazo no mayor de dos años contados a partir de la publicación de la presente norma en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

DISPOSICIONES REFORMATORIAS

PRIMERA

De la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Suplemento del Registro Oficial 557 del 17 de abril de 2002:

1. Suprímese las definiciones de intimidad, datos personales, datos personales autorizados del glosario de términos establecido en la Disposición General Novena.

SEGUNDA

En la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 del 31 de marzo del 2010:

1.- Sustitúyese:

a) El término Dirección Nacional de Registro de Datos Públicos por Dirección Nacional de Registros Públicos;

b) El término Sistema Nacional de Registro de Datos Públicos por Sistema Nacional de Registros Públicos;

c) El término Registro de Datos Públicos por Registros Públicos;

d) El término datos de carácter personal por datos personales;

e) El término datos públicos registrales por la expresión datos públicos y datos personales registrables;

f) El artículo 6, por el siguiente: “Art. 6.- Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal. El acceso a estos datos, solo será posible cuando quien los requiera se encuentre debidamente legitimado, conforme a los parámetros previstos en la Ley Orgánica de Protección de Datos Personales, su respectivo reglamento y demás normativa emitida por la Autoridad de Protección de Datos Personales.

Al amparo de esta Ley, para acceder a la información sobre el patrimonio de las personas cualquier solicitante deberá justificar y motivar su requerimiento, declarar el uso que hará del mismo y consignar sus datos básicos de identidad, tales como nombres y apellidos completos, número del documento de identidad o ciudadanía, dirección domiciliaria y los demás datos que mediante el respectivo reglamento se determinen. Un uso distinto al declarado dará lugar a la determinación de responsabilidades, sin perjuicio de las acciones legales que el titular de la información pueda ejercer.

La Directora o Director Nacional de Registros Públicos, definirá los demás datos que integran el sistema nacional y el tipo de reserva y accesibilidad.

2.- Incorpórase:

a) En el artículo 31 referente a las atribuciones y facultades de la Dirección Nacional de Registro Públicos antes del numeral 14 lo siguiente:

“14. Controlar y supervisar que las entidades pertenecientes al Sistema Nacional de Registros Públicos incorporen mecanismos de protección de datos personales, así como dar cumplimiento a las disposiciones establecidas en la Ley Orgánica de Protección de Datos Personales, su reglamento de aplicación y demás normativa que la Autoridad de Protección de Datos Personales dicte para el efecto:

15. Tratar datos procedentes del Sistema Nacional de Registros Públicos o de cualquier otra fuente, para realizar procesos de analítica de datos, con el objeto de prestar servicios al sector público, al sector privado y a personas en general, así como generar productos, reportes, informes o estudios, entre otros. Se utilizarán medidas adecuadas que garanticen el derecho a la protección de datos personales y su uso en todas las etapas del tratamiento, como por ejemplo, técnicas de disociación de datos, y,”

3.- Suprímese del numeral 13 del artículo 31 lo siguiente: “y”;

4.- Reenumerar el numeral 14 del artículo 31 por numeral “16”;

TERCERA

En el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación publicado en el suplemento del Registro Oficial 899 del 09 de diciembre de 2016, sustitúyase la palabra confidencialidad por Protección en el numeral 5 del artículo 67.

CUARTA

En la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015:

1.- Suprímese:

a) El inciso segundo, tercer y cuarto del artículo 79;

b) En el primer inciso del artículo 83 lo siguiente “(…) y seguridad de datos personales (.)”; y,

c) En el inciso primero del artículo 85 lo siguiente “(…) como de seguridad de datos personal (…)”

2.- Sustitúyese:

a) El artículo 78 por el siguiente:

“Art. 78.- Seguridad de los Datos Personales.- Las y los prestadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas, organizativas y de cualquier otra índole adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos personales de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.”

b) El artículo 81 por el siguiente:

“Art. 81.- Guías telefónicas o de abonados en general.- Los abonados, clientes o usuarios tienen el derecho a no figurar en guías telefónicas o de abonados. Deberán ser informados, de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales, de sus derechos con respecto a la utilización de sus datos personales en las guías telefónicas o de abonados y, en particular, sobre el fin o los fines de dichas guías, así como sobre el derecho que tienen, en forma gratuita, a no ser incluidos, en tales guías.”

c) El artículo 82 por el siguiente:

“Art. 82.- Uso comercial de datos personales.- Las y los prestadores de servicios no podrán usar datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos que el abonado o usuario al que se refieran los datos o tal información, haya dado su consentimiento conforme lo establecido en la Ley Orgánica de Protección de Datos Personales. Los usuarios o abonados dispondrán de la posibilidad clara y fácil de retirar su consentimiento para el uso de sus datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales o información cuyo uso se autorizan, el tiempo y su objetivo específico.

Sin contar con tal consentimiento y con las mismas características, las y los prestadores de servicios de telecomunicaciones no podrán comercializar, ceder o transferir a terceros los datos personales de sus usuarios, clientes o abonados. Igual requisito se aplicará para la información del uso del servicio, información de tráfico o del patrón de consumo de sus usuarios, clientes y abonados.”

d) El artículo 83 por el siguiente:

“Art. 83.- Control técnico.- Cuando para la realización de las tareas de control técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan vulnerar la seguridad e integridad de las redes. La Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo de afectar los contenidos de las comunicaciones.

Cuando, como consecuencia de los controles técnicos efectuados, quede constancia de los contenidos, se deberá coordinar con la Autoridad de Protección de Datos Personales para que:

a) Los soportes en los que éstos aparezcan no sean ni almacenados ni divulgados; y,

b) Los soportes sean inmediatamente destruidos y desechados

Si se evidencia un tratamiento ilegítimo o ilícito de datos personales, se aplicará lo dispuesto en la Ley Orgánica de Protección de Datos Personales.”

DISPOSICIONES DEROGATORIAS

PRIMERA

Derógase el artículo 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el suplemento del Registro Oficial 557 del 17 de abril de 2002.

SEGUNDA

Derógase los artículos 80 y 84 de la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015.

TERCERA

Derógase el artículo 5 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 de 3l de marzo de 2010.

CUARTA

Quedan así mismo derogadas todas aquellas disposiciones de igual o menor jerarquía que se contrapongan con la presente Ley Orgánica.

DISPOSICIÓN FINAL

La presente Ley entrará en vigencia una vez publicada en el Registro Oficial.

Dado en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha, a los … días del mes … de dos mil veinte.

Memorando Nro. AN-VJPF-2021-0046-M

Quito, D.M., 07 de abril de 2021

PARA: Sr. Fernando Patricio Flores Vasquez, Presidente de la Comisión Especializada Permanente de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral

ASUNTO: Voto – «informe para segundo debate del «Proyecto de Ley Orgánica de Protección de Datos Personales»

De mi consideración:

Con relación al desarrollo de la continuación de la Sesión nº 147-2019-2021, modalidad virtual, celebrada el 7 de abril del presente año, la cual se refiere a la aprobación del “informe para segundo debate del “Proyecto de Ley Orgánica de Protección de Datos Personales«, votado y aprobado con 7 votos a favor; y, con la finalidad de dar cumplimiento a la solicitud emitida por la Secretaria General de la Asamblea Nacional mediante la «Guía para Procesos Legislativos durante la Emergencia Sanitaria» de 03 de abril de 2020, y al Memorando Nro.AN-SG-2020-0682-M de 22 de mayo de 2020, procedo a señalar que mi voto el mencionado informe fue A FAVOR.

Atentamente,

Documento firmado electrónicamente

Sr. Pedro Fabricio Villamar Jácome, ASAMBLEÍSTA

Señor Fernando Flores, PRESIDENTE DE LA COMISIÓN DE RELACIONES INTERNACIONALES. Quito

De mi consideración:

Por medio del presente tiene a bien confirmar la votación a favor del Informe para segundodebate del “Proyecto de Ley Orgánica de Protección de Datos Personales”,votado y aprobado con 7 votos a favor en la continuación de la Sesión nº 147-2019-2021,modalidad virtual, celebrada a partir de las 10h00 del 06 de abril del presente año.