Archivos de la etiqueta: Representante

03Sep/24

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023. Reglamento de la Ley de Protección de Datos

Reglamento nº 904 de la Ley Orgánica de Protección de Datos Personales,  de 13 de noviembre de 2023

GUILLERMO LASSO MENDOZA, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

CONSIDERANDO:

Que el numeral 11 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a guardar reserva sobre sus convicciones;

Que el numeral 19 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección;

Que el numeral 13 del artículo 147 de la Constitución de la República faculta al Presidente de la República a expedir los reglamentos necesarios para la aplicación de las leyes, sin contravenirlas ni alterarlas, así como los que convengan a la buena marcha de la administración;

Que en el Quinto Registro Oficial Suplemento nº 459 de 26 de mayo de 2021 , se expidió la Ley Orgánica de Protección de Datos Personales, en cuyo artículo 2 se dispone que la Ley regula el tratamiento de datos personales contenidos en cualquier tipo de soporte;

Que es necesario emitir el Reglamento a la Ley Orgánica de Protección de Datos Personales para establecer con claridad los preceptos y procedimientos para la ejecución de la Ley; y.

En ejercicio de las funciones conferidas en el numeral 13 del artículo 147 de la Constitución de la República, expide el siguiente:

REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. GENERALIDADES

Artículo 1.- Objeto

El presente Reglamento General tiene por objeto desarrollar la normativa para la aplicación Artículo 1 de la Ley Orgánica de Protección de Datos Personales y la protección de los derechos y libertades fundamentales de los titulares de datos personales.

Artículo 2.- Ámbito

Este Reglamento se aplica a todas las personas naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales, tenga lugar en el territorio ecuatoriano o no.

El presente Reglamento también se aplica al tratamiento de datos personales por parte de personas naturales y jurídicas, que actúen como responsables y encargados del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus actividades de tratamiento sean realizadas en territorio nacional.

El presente Reglamento aplicará para los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes les resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público. Estos deberán designar a un apoderado especial de acuerdo con el artículo 3 de este Reglamento.

Artículo 3.- De la obligación de contar con poder de los responsables y/o encargados del tratamiento de datos de residentes ecuatorianos fuera del territorio nacional

Los responsables y encargados del tratamiento de datos personales no establecidos en el Ecuador deberán designar a un apoderado especial, de conformidad con las siguientes reglas:

1. Cuando el responsable y/o encargado del tratamiento de datos personales no tenga domicilio en territorio nacional, conforme el Artículo 3, numeral 3 de la Ley- Orgánica de Protección de Datos Personales, deberán designar un apoderado especial en el Ecuador con residencia en el país, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia.

2. De forma excepcional, no será necesaria la designación de dicho apoderado o representante, cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos personales de categoría especial establecidos en el artículo 25 de la Ley y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas naturales, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento.

La Autoridad de Protección de Datos Personales emitirá una guía técnica respecto de la aplicabilidad de los criterios anteriores.

Artículo 4.- Definiciones

Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicación del presente Reglamento, se establecen las siguientes definiciones:

1. Actividades familiares o domésticas: aquellas en las cuales el tratamiento de los datos personales se dé en un entorno de amistad, parentesco o grupo personal cercano, en propiedad privada, y que no tenga como finalidad su comunicación o transferencia con fines comerciales.

2. Datos relativos a la salud: La definición de datos de salud establecida en la Ley comprende la información relativa a todos los aspectos de salud, tanto físicos como psíquicos, de la persona. Se incluyen todos los datos relativos al estado de salud del titular que dan información sobre su estado de salud física o mental pasado, presente o futuro. Así también contiene la información sobre la persona natural recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo número, símbolo o dato asignado a una persona natural que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del titular, independientemente de su fuente.

3. Normas corporativas vinculantes: Las políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas que tienen la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.

4. Persona Identificable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.

5. Representante: Persona natural o jurídica establecida en el territorio ecuatoriano que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 3, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la Ley Orgánica de Protección de Datos Personales y al presente Reglamento.

6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.

7. Tratamiento a gran escala: es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades.

Para determinar cuándo se está en presencia de un tratamiento “a gran escala” la Autoridad de Protección de Datos Personales y los responsables del tratamiento deberán tener en cuenta los siguientes aspectos:

a. El número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente;

b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

c. La duración o permanencia de la actividad de tratamiento de datos; y,

d. El alcance geográfico de la actividad de tratamiento.

Se considera tratamiento a gran escala:

a. El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital, o de las instituciones que conforman el Sistema Nacional de Salud;

b. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte):

c. El tratamiento de datos de geolocalización en tiempo real de clientes por parte de un responsable del tratamiento de datos personales especializado en la prestación de estos servicios;

d. El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros, corredores, agentes, prestadores o de instituciones financieras;

e. El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda; y.

f. El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Artículo 5.- De la recogida del consentimiento

El responsable de datos personales deberá obtener el consentimiento del titular de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.

En todos los casos en los que de conformidad con la Ley se requiera el consentimiento explícito del titular para el tratamiento de sus datos, el responsable deberá informar previa y detalladamente los tipos de tratamiento, finalidades, el tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de su entrega, entre otros aspectos determinados en la Ley, lo cual deberá ser consentido inequívocamente por el titular.

El consentimiento del titular deberá reflejar de manera indubitada la aceptación de éste en relación con el tratamiento de sus datos personales a través de una declaración, pronunciamiento para darse de baja o clara acción afirmativa. El consentimiento otorgado por el titular deberá ser demostrado por el responsable que lo obtiene, cuando así sea requerido por la autoridad competente.

Cuando los datos personales recogidos pertenecen a un incapaz, bastará con el consentimiento del representante legal debidamente acreditado ante el responsable, en los términos señalados en el presente artículo. El consentimiento de niñas, niños y adolescentes y, en general, de personas incapaces, se obtendrá a través de sus representantes legales y curadores, según lo dispuesto en la Ley Orgánica de Protección de Datos Personales y el Código Civil.

El silencio o la inacción, por sí solos, no presumen el consentimiento del titular.

Artículo 6. De la revocatoria del consentimiento

El titular tendrá derecho a retirar su consentimiento en cualquier momento. La revocatoria del consentimiento no afectará a la licitud del tratamiento de datos llevado a cabo hasta el momento de la revocatoria. El responsable del tratamiento deberá contar con un procedimiento sencillo para que el titular pueda revocar su consentimiento.

El responsable del tratamiento deberá suspender el tratamiento de los datos del titular que haya revocado su consentimiento, una vez recibida la notificación por parte del titular.

Artículo 7.- Tratamiento legítimo

Para efectos del correcto tratamiento de datos personales, se considerará lo siguiente:

1. Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos: Se entenderá que el tratamiento de datos personales está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, debidamente motivado y de acuerdo con los principios establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley.

El tratamiento de datos personales realizado sobre esta base legitimadora deberá observar lo siguiente:

a. Los tipos de datos objeto del tratamiento;

b. Los titulares o interesados afectados;

c. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación;

d. La limitación de la finalidad:

e. Los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo.

El tratamiento de datos personales bajo esta base legitimadora deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

2. Intereses vitales del interesado o de otra persona: Será lícito el tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del interesado o de otra persona, como epidemias o situaciones de emergencia humanitaria. Los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física, cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente.

3. Interés legítimo del responsable: En el caso de que sea necesario satisfacer un interés legítimo del responsable del tratamiento o de un tercero interesado, se aplicará la regla de ponderación, siempre que no prevalezcan los intereses o derechos y libertades del titular.

La ponderación se realizará a través de una evaluación meticulosa que atienda los siguientes factores:

a. Evaluación del interés legítimo del responsable del tratamiento o del tercero interesado que deberá ser necesario y proporcionado;

b. Impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento:

c. Equilibrio provisional, que contemple las medidas adoptadas por el responsable del tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia: y.

d. Garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares.

4. Fuente accesible al público: Para el tratamiento de datos personales que consten en bases de datos de acceso público, se considerará que los datos deben ser obtenidos de fuentes accesibles al público, según la definición de la Ley y el presente Reglamento, respetando el principio de limitación de la finalidad, atendiendo a las razones concretas que han determinado la publicación de la información, especialmente cuando dicha publicación se realiza en cumplimiento de una obligación legal o por razones de interés público.

Consecuentemente, el tratamiento de los datos personales obtenidos de fuentes accesibles al público requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos, por lo que el hecho de que los datos figuren en fuentes públicas no determina la posibilidad de realizar un tratamiento indiscriminado por parte de los responsables.

CAPÍTULO II.- CONSERVACIÓN DE DATOS PERSONALES

Artículo 8.- Plazos de conservación de los datos personales

Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.

La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.

Artículo 9.- Eliminación, bloqueo o anonimización

Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.

El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.

Artículo 10.- Fichero de registro

El fichero del registro de la base de datos deberá contener obligatoriamente el plazo de conservación de los datos, que deberá observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad.

Artículo 11.- Eliminación de datos

Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.

La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:

1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:

2. Para la formulación, el ejercicio o la defensa de reclamaciones.

La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.

CAPÍTULO III.- DERECHOS

Artículo 12.- Medios para el ejercicio de los derechos

Para efectivizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que permitan y garanticen una interacción segura, fiable y rápida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios físicos.

Por lo tanto, se podrán habilitar plataformas digitales, centros de contacto, líneas telefónicas u otros mecanismos tecnológicos que se consideren idóneos para la presentación de las solicitudes por parte de los titulares.

En todos los casos, el requirente deberá demostrar la titularidad o la representación legal para ejercer el derecho.

Artículo 13.- Contenido de la solicitud

En la solicitud para el ejercicio de los derechos consagrados en la Ley, se hará constar:

1. Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones. Cuando se actúa en calidad de representante legal, se hará constar también los datos de la o del representado;

2. De ser posible, la descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados y cualquier otro elemento o documento que facilite la localización de los datos personales;

3. Relación de lo que solicita expuesto de manera clara y precisa;

4. Derecho o derechos que desea ejercer; y,

5. A la solicitud se acompañará los documentos que acrediten la identidad o, en su caso, la representación legal o convencional del titular.

Artículo 14.- Requerimiento de información adicional

En caso de que la información constante en la solicitud requiera ser aclarada o ampliada, el responsable podrá requerir al titular, por una sola vez y dentro del término de cinco (5) días de recibida la solicitud, que la aclare o complete.

El titular emplazado contará con el término de diez (10) días contados a partir del día siguiente en el que haya sido notificado, para aclarar o completar la solicitud.

Si el titular aclara o completa la solicitud dentro del término concedido, el responsable le dará la debida atención, caso contrario, la archivará notificando este particular al titular con las razones de su decisión. El archivo del requerimiento inicial no impedirá la presentación de una nueva solicitud.

Artículo 15.- Registro de solicitudes

El responsable deberá registrar todas las solicitudes de ejercicio de derechos, incluyendo el detalle de la atención dada a las mismas. La Autoridad de Protección de Datos determinará el contenido de dichos registros.

Artículo 16.- Reclamo ante la Autoridad de Protección de Datos Personales

El titular de datos personales que encuentre motivos para creer que se han vulnerado sus derechos con la respuesta que el responsable ha dado a su solicitud, o que no haya recibido respuesta en el plazo establecido, podrá acudir a la Autoridad de Protección de Datos a presentar su reclamo, el cual se sustanciará conforme al procedimiento previsto en el Código Orgánico Administrativo y en la normativa complementaria que, para el efecto, emita la Autoridad de Protección de Datos.

El procedimiento de reclamo contemplará la debida notificación al responsable a fin de que ejerza su derecho a la defensa.

CAPÍTULO IV.- DISPOSICIONES APLICABLES A TRATAMIENTOS CONCRETOS

Artículo 17.- De los datos de personas fallecidas

A efectos de que los titulares de derechos sucesorios, o las personas o instituciones que el fallecido haya designado expresamente para ello, puedan ejercer los derechos de acceso, rectificación, actualización y eliminación de los datos del fallecido ante el responsable del tratamiento, según lo dispuesto en la Ley, deberán acreditar su comparecencia a través de los instrumentos legales reconocidos por el ordenamiento jurídico ecuatoriano.

Los derechos podrán ser ejercidos las veces que se considere oportuno, dentro de las limitaciones que plantea la normativa vigente para el ejercicio de derechos por parte de los titulares de los datos personales.

Artículo 18.- De los datos crediticios

A efectos de lo dispuesto en la Ley, será lícito el tratamiento de datos personales que tenga como fin informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. La Junta de Política y Regulación Financiera, como organismo de regulación, y la Superintendencia de Bancos, como organismo de control, regularán la protección de los datos crediticios, en el ámbito de sus competencias.

Artículo 19.- De los datos de menores de edad

De conformidad con lo previsto en la Ley Orgánica de Protección de Datos Personales, para el tratamiento de datos personales de menores de 15 años de edad, se requerirá el consentimiento de su representante legal.

Para el tratamiento de datos sensibles, así como para las decisiones basadas en valoraciones automatizadas de menores de edad, se requerirá el consentimiento expreso de su representante legal.

Los adolescentes a partir de los 15 años de edad podrán otorgar su consentimiento explícito para el tratamiento de sus datos personales. Para este efecto, el responsable deberá proporcionar información clara, en un lenguaje sencillo propio de su edad, utilizando métodos que le permitan entender lo que ocurrirá con sus datos personales, las finalidades que se persiguen, los derechos que tiene y cómo ejercerlos y cualquier otra información necesaria para obtener su consentimiento explícito.

También podrá otorgar el consentimiento del adolescente mayor de 15 años, quien ejerce la representación legal, sin perjuicio de que el adolescente, en cualquier momento, pueda revocar este consentimiento. El representante legal del adolescente no podrá revocar el consentimiento otorgado explícitamente por el adolescente en su calidad de titular.

Artículo 20.- Del interés superior del niño

El consentimiento obtenido para el tratamiento de datos personales de un menor de edad, no podrá, bajo ninguna circunstancia, menoscabar el interés superior de la niña, niño o adolescente, conforme a las disposiciones del Código de la Niñez y Adolescencia y demás normativa vigente. De identificarse aquello, el consentimiento obtenido será considerado inválido.

CAPÍTULO V.- TRANSFERENCIA O COMUNICACIÓN DE DATOS A TERCEROS

Artículo 21.- Transferencia de datos personales a un tercero

La transferencia o comunicación de datos personales a un tercero o encargado requerirá el consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a la privacidad e intimidad de los titulares de los datos personales; de manera que no se pueda identificar a qué persona se refieren.

Artículo 22.- Supuestos para la transferencia de datos a terceros

La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos:

1. Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de protección de datos; y,

2. Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento.

No se requerirá el consentimiento del titular en los supuestos previstos en la Ley.

Artículo 23.- Ejercicio de derechos en los casos de transferencia de datos a terceros

El titular de los datos personales ejercerá los derechos de rectificación, actualización, oposición y eliminación, directamente ante el responsable del tratamiento, quien, a su vez, deberá notificar de aquello al tercero destinatario de la comunicación de datos personales para que proceda con la rectificación, actualización, oposición o eliminación, según sea el caso.

CAPÍTULO VI.- VULNERACIÓN A LA SEGURIDAD DE DATOS PERSONALES

Artículo 24.- De la notificación de vulneración de seguridad

De conformidad con lo dispuesto en la Ley, el responsable del tratamiento deberá notificar a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de Telecomunicaciones cualquier vulneración a la seguridad de los datos personales, siempre que sea probable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas naturales.

Se entiende que la vulneración o violación a la seguridad constituye un riesgo para los derechos y las libertades de las personas naturales cuando concurre cualquiera de las siguientes causales:

1. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;

2. Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos;

3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,

4. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

Artículo 25.- Finalidad de la notificación

Las notificaciones de las vulneraciones de seguridad de datos personales tendrán como finalidad principal que la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de Telecomunicaciones lleven un registro estadístico sobre vulneraciones para determinar posibles medidas de seguridad para cada una de ellas, así como identificar sectores o instituciones más vulnerables y promover la adaptación de estándares internacionales y mejores prácticas en la gestión de incidentes y vulnerabilidades.

Artículo 26.- Contenido de la notificación

La notificación de vulneración de seguridad deberá contener lo siguiente:

1. La naturaleza y tipo de vulneración;

2. Identificar los titulares o interesados afectados;

3. El detalle inicial de los sistemas vulnerados;

4. La causa presunta de la vulneración:

5. El volumen y tipos de datos expuestos o comprometidos;

6. Las medidas adoptadas y previstas para responder y remediar la vulneración con la finalidad de mitigar las consecuencias presuntas;

7. La evaluación del riesgo que la vulneración implica para los derechos y libertades de los titulares; y,

8. Otros aspectos determinados por la Autoridad de Protección de Datos Personales.

Artículo 27.- Notificación de vulneración de seguridad por parte del encargado

El encargado deberá notificar al responsable del tratamiento de datos personales la vulneración de la seguridad de datos personales.

La notificación de vulneración de seguridad deberá contener la misma información detallada en el artículo precedente, a excepción de la evaluación del riesgo.

Artículo 28.- Notificación de vulneración de seguridad al titular

La notificación de vulneración de datos al titular contendrá la misma información establecida en los artículos anteriores.

La notificación deberá realizarse en lenguaje claro y sencillo, observando los derechos de los titulares.

La Autoridad de Protección de Datos Personales velará por que las excepciones a la obligación de notificación señaladas en la Ley sean utilizadas de manera restringida y de manera justificada.

CAPÍTULO VII.- EVALUACIÓN DE IMPACTO

Artículo 29.- Evaluación de impacto del tratamiento de datos personales

La evaluación de impacto consiste en un análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con el cumplimiento de los principios y el respeto de los derechos y de las obligaciones establecidas en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Artículo 30.- Objeto de la evaluación de impacto

La evaluación de impacto tiene por objeto:

1. Identificar y describir los riesgos potenciales y probables de determinados tratamientos de datos personales;

2. Describir las acciones concretas para la gestión de los riesgos identificados;

3. Actuar de forma preventiva en el cumplimiento de las obligaciones establecidas en la Ley, su Reglamento y demás normativa aplicable; y,

4. Propiciar lineamientos para la construcción de una cultura preventiva de la protección de datos personales de la organización.

Artículo 31.- Evaluación de impacto obligatoria

Las evaluaciones de impacto del tratamiento de datos serán obligatorias en los casos establecidos en la Ley y deberán realizarse de forma previa al inicio del tratamiento de datos personales.

Los responsables utilizarán los criterios establecidos en el presente Reglamento para determinar en qué casos se está en presencia de una evaluación sistemática y exhaustiva de aspectos personales, de un tratamiento a gran escala de categorías especiales de datos, de datos relativos a condenas e infracciones penales o, de una observación sistemática a gran escala de una zona de acceso público.

En caso de duda, el responsable podrá dirigir una consulta a la Autoridad de Protección de Datos Personales con la finalidad de que determine la obligatoriedad de la evaluación de impacto. La Autoridad de Protección de Datos personales deberá contestar dicha consulta en el término máximo de cinco (5) días contados desde la recepción de la consulta.

Artículo 32.- Requisitos de la evaluación de impacto

En los casos en que sea obligatoria, la evaluación de impacto será presentada ante la Autoridad de Protección de Datos Personales y contendrá, al menos, lo siguiente:

1. La descripción sistemática de las operaciones de tratamiento y las finalidades de ese tratamiento;

2. La justificación de la necesidad de llevar a cabo esas operaciones de tratamiento, así como su proporcionalidad con respecto de la finalidad;

3. La evaluación de riesgos a los derechos y libertades de los titulares; y,

4. Las medidas previstas para hacer frente a los riesgos, las garantías, medidas de seguridad y mecanismos destinados a salvaguardar y demostrar el respeto al derecho de los titulares a la protección de sus datos personales.

La información otorgada en virtud de los numerales precedentes debe limitarse a la que sea necesaria para respaldar la evaluación y no incluir detalles potencialmente confidenciales relacionados con las implementaciones de seguridad o la información confidencial.

CAPÍTULO VIII.- RESPONSABLE DEL TRATAMIENTO

Artículo 33.- Obligaciones del responsable del tratamiento

El responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales, aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la Ley. Para ello, tendrá en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de los riesgos para los intereses de los titulares.

Artículo 34.- Estado de la técnica

Se entiende por estado de la técnica a los progresos actuales de la tecnología disponible en el mercado, que deberá ser considerado al determinar las medidas técnicas y organizativas adecuadas. El responsable del tratamiento deberá evaluar continuamente el estado de la técnica.

Artículo 35.- Costos de aplicación

Los costos de aplicación no se limitan solamente a términos monetarios sino también a los recursos que, en general, deba invertir el responsable del tratamiento, incluidos el tiempo y el humano. El responsable del tratamiento deberá evaluar los riesgos que conlleva el tratamiento para los derechos y libertades de los titulares y estimar los costos de la aplicación de las medidas adecuadas para mitigar dichos riesgos. La incapacidad de asumir los costos no es excusa para el incumplimiento de la Ley y el presente Reglamento, para lo cual se observará el principio de proporcionalidad entre el volumen del tratamiento de los datos y la capacidad económica del responsable del tratamiento.

Artículo 36.- De la prueba de las medidas de protección

Los responsables del tratamiento deberán demostrar que han aplicado todas la medidas necesarias para la protección de datos personales. Para ello, el responsable del tratamiento podrá determinar los indicadores clave de rendimiento adecuados para demostrar el cumplimiento. Estos indicadores pueden incluir métricas para demostrar la eficacia de las medidas tomadas. Las métricas pueden ser cuantitativas, como el nivel de riesgo, la reducción de las reclamaciones, la reducción del tiempo de respuesta cuando los interesados ejercen sus derechos; o, cualitativas, como las evaluaciones del rendimiento, el uso de escalas o evaluaciones de expertos.

Artículo 37.- Responsables conjuntos

Si dos o más responsables del tratamiento determinan conjuntamente los mismos fines y los medios del tratamiento de los datos personales, se considerarán responsables conjuntos, quienes definirán sus respectivas tareas y responsabilidades en materia de protección de datos de forma transparente a través de un contrato, en la medida en que estas no estén ya definidas en disposiciones legales, buscando precautelar los intereses y derechos de los titulares.

Dicho acuerdo no impedirá que el titular o interesado ejerza sus derechos contra cualquiera de los responsables conjuntos del tratamiento y que estos sean responsables solidarios ante la autoridad de control y los titulares.

Además, cada responsable conjunto deberá cumplir las obligaciones que determina la Ley, en función de las responsabilidades asumidas en el acuerdo, cuya evidencia deberá estar a disposición de la autoridad de control, cuando así lo solicite. En este sentido, cada responsable conjunto es sujeto del régimen sancionador, en forma diferenciada sobre la base de las responsabilidades adquiridas.

Los acuerdos de protección de datos entre responsables conjuntos deben ser compartidos con los titulares interesados cuando así sea requerido por éstos, sobre la base del principio de transparencia.

Artículo 38.- Registro de actividades de tratamiento

El responsable del tratamiento que cuente con cien o más trabajadores, llevará un registro de todas las actividades de tratamiento de datos personales que sean de su competencia.

Este registro contendrá la siguiente información:

1. El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actúa conjuntamente con el responsable del tratamiento de datos personales, así como el nombre y los datos de contacto del delegado de protección de datos;

2. Los fines del tratamiento;

3. Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;

4. Identificar a los titulares y las categorías de datos personales de los titulares;

5. En su caso, el uso de perfiles;

6. En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional;

7. Descripción de las bases legitimadoras que facultan el tratamiento;

8. Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales; y,

9. Una descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.

El registro se llevará por escrito o electrónicamente. Los responsables pondrán a disposición de la Autoridad de Protección de Datos Personales los registros de actividades cuando ésta lo solicite.

Artículo 39.- Extensión de la obligación de registro

La obligación de registro de actividades también la tendrán los responsables de tratamiento que, teniendo menos de cien trabajadores, cumplan alguna de las siguientes condiciones;

1. El tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los titulares, de acuerdo con el análisis de riesgos, amenazas y vulnerabilidades, de conformidad con lo dispuesto en la ley;

2. No se trate de un tratamiento ocasional: o,

3. Incluya categorías especiales de datos personales.

CAPÍTULO IX.- ENCARGADO DEL TRATAMIENTO

Artículo 40.- Encargado

El encargado del tratamiento deberá ofrecer garantías suficientes para aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas para que el tratamiento cumpla con las disposiciones de la Ley garantizando el adecuado tratamiento de los datos personales y la protección de los derechos de los titulares.

Artículo 41.- De la relación entre responsable y encargado

La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito, en el cual se detallen las instrucciones encomendadas respecto del tratamiento de datos personales y, al menos, los siguientes aspectos:

1. El objeto;

2. La duración:

3. La naturaleza;

4. La finalidad del tratamiento de los datos;

5. La categoría de los datos personales;

6. Identificar a los titulares de los datos personales tratados; y,

7. Las obligaciones y responsabilidades del encargado.

El encargado del tratamiento deberá respetar las instrucciones que, para el efecto, determine el responsable en cuanto al tratamiento de los datos personales. Para ello, deberá establecer las medidas técnicas y organizativas adecuadas, previo a brindar el servicio, que deberán ser equiparables a aquellas a las que está obligado el responsable en función de los datos y los tipos de tratamiento aplicables, de tal forma que se garantice la protección de datos de los titulares.

Artículo 42.- Obligación del responsable

El responsable del tratamiento de datos personales será el directo obligado de garantizar el correcto ejercicio de los derechos reconocidos en la Ley a los titulares, sin embargo, el encargado deberá asistir al responsable y realizar todas las acciones necesarias, y bajo su responsabilidad, para que el responsable pueda cumplir con esta obligación.

Artículo 43.- Responsabilidad del encargado.

El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.

Artículo 44.- Registro de actividades del tratamiento

El encargado del tratamiento deberá mantener un registro de actividades del tratamiento cuando el responsable del tratamiento esté obligado a ello, de conformidad con lo previsto en la Ley, el presente Reglamento y demás normativa aplicable.

Artículo 45.- Contratación

El encargado del tratamiento podrá contratar a un tercero para complementar la prestación de un servicio al responsable del tratamiento de datos personales, siempre que esto se haga constar expresamente en el contrato celebrado entre el responsable y el encargado del tratamiento. Caso contrario, requerirá la autorización escrita del responsable del tratamiento para la subcontratación.

En este caso, el tercero contratado asumirá las obligaciones del encargado de tratamiento establecidas en la ley y en el presente Reglamento, debiendo cumplir con las instrucciones de tratamiento de datos establecidas entre el responsable y encargado del tratamiento, en aquello que fuere pertinente en función de los servicios que han sido contratados.

Artículo 46.- Eliminación de datos personales

El encargado deberá devolver o eliminar todos los datos personales, según las instrucciones impartidas por el responsable del tratamiento, una vez finalizada la relación que justifica el tratamiento de datos personales, destruyendo todas las copias existentes, salvo que exista la obligación de conservar los datos en virtud de una disposición legal.

Artículo 47.- Revisión de registros

El encargado de tratamiento deberá permitir al responsable o a la persona determinada por este, en cualquier momento que así lo solicite el responsable, la revisión de los registros y procesos que tengan relación con los tratamientos de datos personales encomendados, a fin de verificar el correcto cumplimiento del contrato y las obligaciones de la Ley y el presente Reglamento, así como la adopción de medidas técnicas, organizativas y de seguridad adecuadas.

En tal sentido, el encargado deberá proporcionar al responsable o a la persona determinada por este, todas las facilidades y toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

CAPÍTULO X.- DELEGADO DE PROTECCIÓN DE DATOS

Artículo 48.- Delegado de protección de datos

El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.

Artículo 49.- Tipo de contratación

El delegado de protección de datos podrá ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deberá respetar y garantizar que se presten los servicios de manera independiente.

Tratándose de las instituciones del sector público, el delegado de protección de datos será designado por la máxima autoridad institucional.

Artículo 50.- Delegado de protección de datos de grupos empresariales

Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.

Artículo 51.- Prohibición de sanción al delegado de protección de datos

El responsable y el encargado del tratamiento de datos personales deberán respetar el trabajo que ejecute el delegado de protección de datos personales, y no se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones. En caso que el delegado sea sancionado o removido por motivo de la ejecución de sus funciones, podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado.

La Autoridad de Protección de Datos Personales establecerá el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos.

Artículo 52.- Buenas prácticas

Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar.

En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.

Artículo 53.- Actividades de control permanente y sistematizado de datos

Para determinar si las actividades de un responsable o encargado en materia de protección de datos requieren de un control permanente, se deberá considerar, entre otros factores que defina la Autoridad de Protección de Datos Personales, alguno de los siguientes:

1. Si el tratamiento de datos es continuado o si se produce en intervalos concretos durante un periodo de tiempo;

2. Si el tratamiento de datos es recurrente o repetido en momentos prefijados; o,

3. Si el tratamiento tiene lugar de manera constante o periódica.

Así mismo, para determinar si el control es sistematizado, además de aquellos que determine la Autoridad de Protección de Datos Personales, se deberá verificar alguno de los siguientes aspectos:

1. Si el tratamiento de datos está de alguna manera preestablecido, organizado o es metódico;

2. Si el tratamiento de datos tiene lugar como parte de un plan general de recogida de datos; o,

3. Si el tratamiento de datos es llevado a cabo como parte de una estrategia.

En caso de suscitarse dudas entre los responsables y encargados respecto a los supuestos que dan lugar a la designación del delegado de protección de datos personales, podrán dirigir sus respectivas consultas a la Autoridad de Protección de Datos Personales, cuya decisión será de cumplimiento obligatorio para los consultantes.

Artículo 54.- Tratamiento a gran escala de datos de categoría especiales

Para determinar el tratamiento de datos de categorías especiales a gran escala, se considerarán, entre otros factores que defina la Autoridad de Protección de Datos Personales, los establecidos en el presente Reglamento.

Artículo 55.- Requisitos para ser delegado

Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:

1. Estar en goce de los derechos políticos;

2. Ser mayor de edad;

3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,

4. Acreditar experiencia profesional de por lo menos cinco años.

Artículo 56.- Impedimento para ser delegado

Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas:

1. Quienes formen parte de los órganos de administración y control del responsable y encargado;

2. Los socios o accionistas del responsable y encargado;

3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,

4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses.

Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.

Artículo 57.- Acuerdos de Confidencialidad

El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempeño de su cargo. Las partes acordarán, libremente, los términos y condiciones del acuerdo, pero en ningún caso tales documentos podrán limitar el acceso del delegado a la información que estime necesaria para el desempeño de su función.

El incumplimiento de los acuerdos de confidencialidad estará sujeto a las responsabilidades civiles y penales a las que hubiere lugar.

Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica con el responsable o encargado.

CAPÍTULO XI.- RESPONSABILIDAD PROACTIVA Y AUTORREGULACIÓN

Artículo 58.- Obligatoriedad.

El responsable del tratamiento está obligado a aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con la normativa. Para ello se deberá atender:

1. La naturaleza;

2. El ámbito;

3. La finalidad del tratamiento; y,

4. Los riesgos.

Esta obligación implica también revisar y actualizar las medidas cuando sea necesario.

Artículo 59.- Medidas de protección de datos desde el diseño

El responsable del tratamiento tiene la obligación de establecer medidas técnicas y organizativas adecuadas para aplicar los principios establecidos en la normativa de forma eficaz, y

proteger los derechos de los titulares, de manera previa al tratamiento de datos personales.

Para la fijación de estas medidas debe tenerse en cuenta:

1. La naturaleza, ámbito y finalidad del tratamiento;

2. Los riesgos de diversa probabilidad y gravedad asociados al tratamiento;

3. El estado de la técnica; y,

4. El coste de aplicación.

Artículo 60.- Medidas de protección de datos por defecto

El responsable del tratamiento adoptará las medidas técnicas y organizativas apropiadas para garantizar que, mediante ajustes, por defecto, solo puedan tratarse aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad específica del tratamiento.

Además, mediante los respectivos ajustes, las medidas deben garantizar que, por defecto, los datos no puedan ser accesibles a un número indefinido de personas de forma automatizada.

Esta obligación es aplicable a:

1. La cantidad de los datos recopilados;

2. La extensión del tratamiento;

3. El período de almacenamiento; y,

4. La accesibilidad

Para acreditar el cumplimiento de esta medida, podrá utilizarse un mecanismo de certificación, según lo previsto en la Ley Orgánica de Protección de Datos Personales.

Artículo 61.- Mecanismos de autorregulación

Los mecanismos de autorregulación pueden ser adoptados para el cumplimiento de los principios, ejercicio de derechos, medidas de seguridad, transferencias, procedimientos y, en general, para cumplir cualquiera de las obligaciones previstos en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Los mecanismos de autorregulación constituyen instrumentos que permiten adecuar de mejor forma esquemas de cumplimiento para sectores específicos o en situaciones muy particulares, y dar cumplimiento a la Ley Orgánica de Protección de Datos Personales, así como el resto de normativa aplicable.

Artículo 62.- Mecanismos de autorregulación

Serán mecanismos de autorregulación los siguientes:

1. Esquemas certificados en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación;

2. Reglas específicas creadas para adaptar la normativa de protección de datos personales a un determinado sector o situación. En este tipo de reglas estarán comprendidos los códigos de conducta, las normas corporativas vinculantes y las cláusulas tipo; y,

3. Esquemas validados por la Autoridad de Protección de Datos Personales, conforme a las reglas que para el efecto emita.

Artículo 63.- Registro de mecanismos de autorregulación

La Autoridad de Protección de Datos Personales mantendrá un registro de mecanismos de autorregulación a fin de dar a conocer la siguiente información:

1. Las reglas destinadas a adaptar la normativa de datos personales para determinado sector o situación, con la finalidad de facilitar y hacer efectivo su cumplimiento;

2. Las entidades de acreditación autorizadas por el Servicio Ecuatoriano de Acreditación en materia de protección de datos personales;

3. Las entidades de evaluación acreditadas para otorgar certificaciones en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación, en el marco de la Ley, este Reglamento y las reglas que se emitan para el efecto; y,

4. Los responsables y encargados que hayan adoptado algún mecanismo.

SECCIÓN I.- CERTIFICACIÓN

Artículo 64.- Objeto de la certificación

La certificación tiene por objeto determinar el grado de cumplimiento de un mecanismo de autorregulación con relación a las obligaciones de la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Corresponderá, privativamente, a la Autoridad de Protección de Datos Personales emitir y actualizar periódicamente los parámetros básicos o estándares mínimos de evaluación a los que deberán someterse los responsables y encargados para obtener la certificación a la que se refiere este Reglamento.

Artículo 65.- Temporalidad de la certificación

La certificación se expedirá por un periodo máximo de tres años, vencido el cual podrá ser renovada en las mismas condiciones, siempre y cuando se cumplan los requisitos establecidos para el efecto.

Artículo 66.- Entidades de certificación

La certificación en materia de protección de datos estará a cargo de las entidades de certificación acreditadas por el Servicio Ecuatoriano de Acreditación, de conformidad con la normativa que para el efecto emitan en conjunto la Autoridad de Protección de Datos Personales y la Autoridad Nacional de Acreditación.

Para la acreditación de la entidad de certificación se revisará el cumplimiento de, entre otros establecidos por la Autoridad de Protección de Datos Personales, los siguientes requisitos:

1. Haber demostrado su independencia y pericia en relación con el objeto de la certificación;

2. Haber establecido procedimientos adecuados para la expedición, revisión periódica y la retirada de sellos y certificaciones de cumplimiento en materia de protección de datos: y.

3. Haber demostrado que sus funciones y cometidos no dan lugar a conflictos de intereses.

Para la aprobación de las entidades certificadoras se tomará en cuenta, además, el cumplimiento por parte de estas entidades de normas internacionales como la relativa a los requisitos para organismos que certifican productos, procesos y servicios.

Artículo 67.-Revocatoria

Cuando el responsable o encargado del tratamiento de datos personales dejen de cumplir con los requisitos que dieron paso al otorgamiento de la certificación, ésta podrá ser revocada por el mismo organismo de certificación que la otorgó o por la autoridad de control competente.

SECCIÓN II.- CÓDIGOS DE CONDUCTA

Artículo 68.- Aprobación de códigos de conducta

Cualquier persona natural o jurídica, asociación, gremio o grupo de empresas podrá presentar, para aprobación de la Autoridad de Protección de Datos, códigos de conducta que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos personales.

Los códigos de conducta deberán contener al menos lo siguiente:

1. Exposición de motivos, clara y concisa, que describa detalladamente el objetivo del código, su ámbito de aplicación y cómo facilitará la aplicación efectiva de la Ley y este Reglamento;

2. Ámbito de aplicación que determine de forma específica las operaciones de tratamiento o las características del tratamiento de datos personales que abarca, así como las categorías de responsables o encargados del tratamiento a las que se aplica. Esto incluirá las cuestiones del tratamiento que pretenda abordar el código y aportará soluciones prácticas; y,

3. Mecanismos de supervisión para controlar el pleno cumplimiento de sus disposiciones.

Artículo 69.- Admisibilidad

El proponente del código presentará formalmente su proyecto de código, ya sea en formato electrónico o físico a la Autoridad de Protección de Datos Personales.

Presentado el proyecto de código, la Autoridad de Protección de Datos, en el término máximo de cinco (5) días, examinará si cumple con los requisitos de forma establecidos en el artículo anterior. Si lo hace calificará, tramitará y dispondrá la evaluación del contenido del proyecto de código.

Si el proyecto no cumple con los requisitos formales, la Autoridad de Protección de Datos Personales dispondrá que el proponente la complete o aclare en el término de cinco (5) días, determinando explícitamente el o los defectos. Si no lo hace, ordenará el archivo y la devolución del proyecto, sin necesidad de dejar copias.

Artículo 70.- Evaluación del fondo

Admitido el proyecto de código, la Autoridad de Protección de Datos Personales deberá, en el término de un treinta (30) días, evaluar y verificar que el código contribuya a la correcta aplicación de la Ley, el presente Reglamento y la normativa aplicable en materia de protección de datos, teniendo en cuenta las características específicas de los diversos sectores del tratamiento, así como las obligaciones y los requisitos concretos de los responsables o encargados del tratamiento a los que se aplique.

Además de los criterios que determine la Autoridad de Protección de Datos para la aprobación de los Códigos de Conducta, se verificará que el proyecto cumpla con los siguientes criterios:

1. Satisfacer una necesidad puntual de ese sector o actividad de tratamiento;

2. Especificar la aplicación de la Ley y el Reglamento a la naturaleza de la actividad o el sector del tratamiento;

3. Aportar mejoras al sector en cuanto al cumplimiento de la legislación en materia de protección de datos;

4. Establecer normas realistas, aplicables, concretas, inequívocas y estar formuladas con la calidad y coherencia interna necesarias para aportar valor;

5. Desarrollar de manera específica, práctica y precisa cómo ha de aplicarse la ley, el reglamento y demás normativa de protección de datos;

6. Aportar garantías suficientes y eficaces para mitigar el riesgo que entraña el tratamiento de datos y respetar los derechos y las libertades de los particulares;

7. Disponer de mecanismos eficaces para supervisar el cumplimiento de) código; y,

8. Identificar y proponer específicamente las estructuras, procedimientos y órganos que velen por una supervisión eficaz y una sanción de las infracciones.

Los citados mecanismos pueden incluir una auditoría periódica y requisitos de presentación de informes, la gestión clara y transparente de las reclamaciones y los procedimientos de solución de conflictos, sanciones específicas y medidas correctivas en caso de infracción del código, así como mecanismos para denunciar las infracciones de sus disposiciones.

CAPÍTULO XII.- TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS

Artículo 71.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

De oficio o a petición de parte, la Autoridad de Protección de Datos Personales, mediante resolución motivada, determinará los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para transferencia de datos personales. Para ello, revisará que los estándares de protección sean equivalentes o superiores a aquellos establecidos en la Ley y demás normativa respectiva.

La resolución tendrá efectos generales, por lo que las transferencias internacionales hacia ese país, organización o persona jurídica no requerirá de autorización previa.

Artículo 72.- Contenido y publicación de la resolución

La Autoridad de Protección de Datos Personales establecerá el mecanismo de revisión periódica de los niveles adecuados de protección, que deberá llevarse a cabo anualmente. De ser el caso, podrá revocar, modificar o suspender la resolución que reconoció el adecuado nivel de protección al país, organización o persona jurídica, sin que este acto tenga efectos retroactivos.

La resolución será publicada en el Registro Oficial y por medios digitales disponibles al público en su página web institucional.

Artículo 73.- Criterios de estándares de nivel adecuado de protección

Para determinar si un país, organización o persona jurídica posee un nivel adecuado de protección de datos se tendrá en cuenta los siguientes criterios, sin perjuicio de otros que pueda definir la Autoridad de Protección de Datos:

1. La legislación nacional y normativa sectorial del país, que tenga incidencia en materia de protección de datos personales;

2. La legislación en materia de seguridad nacional, pública y, en general aquella que tenga relación con la defensa y seguridad del Estado, así como la legislación penal. En estas materias se deberá poner especial énfasis en la revisión de las disposiciones que habiliten el acceso a datos personales por parte de las autoridades de ese país, organización o persona jurídica;

3. La normativa sobre transferencias ulteriores de datos personales a terceros países, organizaciones o personas jurídicas;

4. La jurisprudencia vinculada a la protección de datos personales;

5. El reconocimiento de derechos y los mecanismos para su ejercicio en favor de los titulares de datos personales;

6. El establecimiento de deberes y obligaciones de los responsables y encargados del tratamiento de datos personales;

7. La existencia de una autoridad de protección de datos personales que sea independiente y que tenga competencias de control y vigilancia del cumplimiento de la normativa en materia protección de datos personales, así como de sanción en caso del cometimiento de infracciones en esta materia. Además, deberá brindar asistencia y asesoría a los titulares y cooperación internacional con otras autoridades; y,

8. Los compromisos internacionales asumidos por el país, organización o persona jurídica en cuanto a la materia de protección de datos personales.

Artículo 74.- Transferencia o comunicación internacional mediante garantías adecuadas

De conformidad con la Ley, los instrumentos jurídicos que sustentan la transferencia internacional de datos personales a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección serán los siguientes:

1. Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos;

2. Normas corporativas vinculantes aprobadas por la Autoridad de Protección de Datos;

3. Cláusulas tipo de protección de datos adoptadas por organismos internacionales de protección de datos avaladas por la autoridad de control;

4. Códigos de conducta, que incluyan compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, que incluya las relativas a los derechos de los interesados;

5. Mecanismos de certificación que incluyen sellos y marcas de protección, que incorporen compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, así como aquellos relativos a los derechos de los interesados; y,

6. Cláusulas contractuales que no correspondan a las cláusulas tipo y que estén debidamente autorizadas por la autoridad de protección de datos.

Artículo 75.- Normas corporativas vinculantes

Son normas corporativas vinculantes las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en la República del Ecuador, para garantizar una adecuada protección de los datos personales, que permiten realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Todo grupo empresarial, o unión de empresas dedicadas a una actividad económica conjunta, tendrá la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de datos a terceros países, siempre que tales normas corporativas incorporen todos los principios de tratamiento de datos personales y derechos aplicables y garantías de seguridad adecuadas para la transferencia de datos de personales.

Artículo 76.- Autorización de normas corporativas vinculantes

Para que las normas corporativas vinculantes constituyan garantías adecuadas de protección, deberán ser autorizadas por la Autoridad de Protección de Datos.

Para ello, la Autoridad de Protección de Datos deberá observar que las normas corporativas vinculantes cumplan los siguientes requisitos:

1. Sean jurídicamente vinculantes;

2. Confieran expresamente a los titulares derechos exigibles en relación con el tratamiento de sus datos personales; y,

3. Cumplan con los requisitos establecidos en la Ley.

Artículo 77.- Transferencia o comunicación internacional en casos no contemplados

En casos no contemplados en los artículos precedentes, la Autoridad de Protección de Datos Personales autorizará, con carácter previo, la transferencia internacional de datos personales, únicamente cuando el responsable cumpla con alguno de los siguientes supuestos:

1. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, así como a aceptar la autoridad y competencia de la Autoridad de Protección de Datos y de los tribunales ecuatorianos, para cualquier efecto relacionado con el tratamiento de los datos objeto de la transferencia; o,

2. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, y que en el país o territorio donde se encuentre establecido el destinatario se garantice el ejercicio de los derechos, incluido aquel a presentar una reclamación ante una autoridad de protección de datos personales y el derecho a la tutela judicial efectiva, por parte de los titulares.

Artículo 78.- Registro de información sobre transferencias internacionales en el Registro Nacional de Protección de Datos

En el Registro Nacional de Protección de Datos se registrará la siguiente información:

1. El país donde se ubica el destinatario de los datos;

2. Las categorías de datos objeto de la transferencia;

3. Las finalidades de la transferencia;

4. El nombre, denominación, razón social o nombre comercial con el que se identifique al destinatario;

5. El mecanismo o esquema autorizado, conforme a la Ley y este Reglamento, para realizar la transferencia; y,

6. El criterio de excepción utilizado de los previstos en la Ley, cuando sea el caso.

La Autoridad de Protección de Datos privilegiará la utilización de medios digitales para el registro de la información descrita, y emitirá las reglas conforme a las cuales se realizará el registro de la información, los medios disponibles para el registro, los plazos, así como los mecanismos para la actualización de dicha información, de ser el caso.

CAPÍTULO XIII.- AUTORIDAD DE PROTECCIÓN DE DATOS

Artículo 79.- Autoridad de Protección de Datos Personales

 La Autoridad de Protección de Datos Personales goza de autonomía administrativa, técnica, operativa y financiera. Estará a cargo del Superintendente de Protección de Datos Personales y tendrá su sede en el Distrito Metropolitano de Quito.

El Estatuto Orgánico Funcional será aprobado por la máxima autoridad y contendrá la estructura institucional necesaria para el cumplimiento de sus fines y atribuciones.

Artículo 80.- Atribuciones

La Autoridad de Protección de Datos Personales, además de las señaladas en la Ley de la materia,

tendrá las siguientes:

1. Hacer cumplir las regulaciones en el marco de la protección de datos personales;

2. Registrar las bases de datos que contengan datos personales en el Registro Nacional de Protección de Datos Personales;

3. Dirigir y administrar el Registro Único de Responsables y Encargados Incumplidos;

4. Emitir regulaciones para la protección de datos personales;

5. Emitir los informes técnicos dentro de los mecanismos de control y supervisión que se dispongan;

6. Proponer reformas a la Ley y su reglamento;

7. Emitir guías de referencias que ayuden a los responsables y encargados del tratamiento de datos en el proceso de adecuación y cumplimiento de la normativa de protección de datos personales;

8. Conocer y resolver las peticiones, quejas, reclamos y recursos que se propongan en el ámbito de su competencia y de conformidad con la Ley; y,

9. Las demás que se le asignen en este reglamento.

Artículo 81.- Planes anuales

Las actividades de control se realizarán de acuerdo con el plan anual aprobado por la máxima autoridad, el cual será elaborado considerando la naturaleza de las organizaciones controladas, el volumen y la sensibilidad de los datos personales sujetos a tratamiento, la aplicación de los diferentes procedimientos de control y la disponibilidad presupuestaria.

Se podrán ejecutar procedimientos de control no considerados dentro de los planes anuales si la situación lo amerita, basados en criterios de criticidad, oportunidad y posibles lesiones al derecho a la protección de datos personales de uno o más titulares de datos personales.

Artículo 82.- Mecanismos de control

La Autoridad de Protección de Datos Personales determinará los procedimientos de control que se regirán por las reglas previstas en el Código Orgánico Administrativo.

Artículo 83.- Atribuciones del Superintendente de Protección de Datos Personales

Son atribuciones del Superintendente de Protección de Datos Personales, a más de las señaladas en la Ley y este Reglamento, las siguientes:

1. Representar legal y judicialmente a la Autoridad de Protección de Datos Personales, en todos los actos, contratos y relaciones jurídicas sujetas a su competencia.

2. Elaborar y publicar, anualmente, información estadística, de las organizaciones sujetas a su control y de los tratamientos de datos personales.

3. Formular, aprobar y ejecutar el presupuesto de la Autoridad de Protección de Datos Personales.

4. Preparar estudios y propuestas sobre reformas legales y reglamentarias que se requieran para el correcto ejercicio del derecho a la protección de datos personales, y ponerlos en consideración de los órganos encargados de aprobarlas.

5. Aprobar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la Autoridad a su cargo.

Artículo 84.- Registro Nacional de Protección de Datos Personales

El Registro Nacional de Protección de Datos Personales constituye un registro público a cargo de la Autoridad de Protección de Datos Personales, que contiene las bases de datos personales o tratamiento realizado por los responsables de tratamiento de datos personales en los términos previstos en la Ley.

Artículo 85.- Responsabilidad del registro

El reporte y la actualización de la información en el Registro Nacional de Protección de Datos Personales, será obligación del responsable de tratamiento.

Esta obligación no implica el registro de los datos contenidos en la base de datos o que son objeto del tratamiento, y se realizará de manera independiente por cada base de datos o tratamiento.

La Autoridad de Protección de Datos Personales regulará los procesos de reporte y actualización en el Registro Nacional de Protección de Datos Personales a su cargo que deberán cumplir los responsables de tratamiento de datos personales.

Artículo 86.- Inscripción oportuna

El reporte de bases de datos o tratamiento en el Registro Nacional de Protección de Datos Personales deberá realizarse dentro del término de diez días contados a partir del día siguiente al inicio del tratamiento.

Artículo 87.- Registro Único de Responsables y Encargados del tratamiento de datos personales incumplidos

El Registro Único de Responsables y Encargados de tratamiento de datos personales incumplidos constituye un registro público a cargo de la Autoridad de Protección de Datos, en el que se harán constar los responsables y encargados del tratamiento que hubieren incurrido en alguna de las infracciones establecidas en la Ley y cuenten con una resolución firme, de conformidad con lo dispuesto en el ordenamiento jurídico vigente.

Dicho registro contendrá los siguientes datos:

1. Nombre de la persona natural o jurídica infractora;

2. Indicación de la infracción cometida;

3. Indicación de la sanción impuesta; y,

4. Reiteración o reincidencias en el cometimiento de infracciones.

Artículo 88.- Fines del Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos

El Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos será utilizado exclusivamente para fines estadísticos, preventivos y de capacitación.

La Autoridad de Protección de Datos guardará la confidencialidad y privacidad de los datos contenidos en el Registro y aplicará las medidas de seguridad a fin de proteger la información personal contenida en el mismo.

La Autoridad de Protección de Datos mantendrá permanentemente actualizado el Registro, de tal forma que responda con veracidad y exactitud a los datos contenidos en el mismo.

Artículo 89.- Plazo de conservación

El plazo máximo de conservación de los datos contenidos en el Registro de Responsables y Encargados del Tratamiento de datos personales Incumplidos es de siete (7) años contados desde la fecha de la emisión de la resolución o sentencia en firme.

CAPÍTULO XIV.- RÉGIMEN SANCIONATORIO

Artículo 90.- Cometimiento de infracciones

En los casos en que se presuma el cometimiento de alguna de las infracciones previstas en la Ley, la Autoridad de Protección de Datos iniciará el correspondiente procedimiento administrativo sancionatorio, de conformidad con las disposiciones establecidas en el Código Orgánico Administrativo.

La resolución que ponga fin al procedimiento deberá estar debidamente fundamentada y motivada, de conformidad con lo establecido en la Ley.

Las sanciones a las que hubiere lugar se impondrán sin perjuicio de la responsabilidad civil o penal que resulten del cometimiento de la infracción.

DISPOSICIÓN GENERAL

Los procedimientos administrativos se regirán por lo previsto en el Código Orgánico Administrativo.

DISPOSICIÓN TRANSITORIA

PRIMERA

La implementación y funcionamiento de la Superintendencia de Protección de Datos Personales estará sujeta a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas públicas.

SEGUNDA

En el plazo máximo de un (1) año, contado a partir de la fecha de implementación y funcionamiento de la Superintendencia de Protección de Datos Personales, esta coordinará y llevará a cabo capacitaciones técnicas y cursos de formación dirigidos al público en general, orientados a promover el ejercicio del derecho a la protección de datos personales y a la profesionalización de los delegados de protección de datos personales. Para tal efecto, podrá celebrar alianzas con instituciones de educación superior con experiencia en la materia, así como con organizaciones especializadas que promuevan la protección de datos personales.

DISPOSICIÓN FINAL

El presente Reglamento General entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, Distrito Metropolitano de Quito, el 6 de noviembre de 2023.

Guillermo Lasso Mendoza, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

Quito, 8 de noviembre del 2023, certifico que el que antecede es fiel copia del original.

Documento firmado electrónicamente, Juan Pablo Ortiz Mena, SECRETARIO GENERAL JURÍDICO DE LA PRESIDENCIA DE LA REPÚBLICA DEL ECUADOR.

12May/21

Proyecto de Ley “de Protección de Datos Personales” 30 de abril de 2021.

PROYECTO-D-2162170. Presentación oficial del Proyecto de Ley “de Protección de Datos Personales” de la República del Paraguay, durante un evento organizada por la Comisión de Ciencia y Tecnología de la Cámara Baja el viernes 30 de abril de 2021.

Asunción, 30 de abril de 2021.-

Señor

Pedro Hércules Alliana Rodríguez, Presidente

Honorable Cámara de Diputados

Presente

De nuestra más distinguida consideración

Los abajo firmantes, Diputados Nacionales, nos dirigimos a Vuestra Honorabilidad y por su intermedio a los Miembros de la Honorable Cámara de Diputados para elevar a consideración el Proyecto de Ley de Protección de Datos Personales en Paraguay, en virtud del Artículo 203 de la Constitución Nacional.

El presente proyecto de ley tiene por objeto reglamentar los aspectos relativos a la “Protección General de los Datos Personales en la República del Paraguay”.

En espera de que la presente iniciativa legislativa tenga el tratamiento favorable y oportuno, hacemos propicia la oportunidad para saludar al Señor Presidente con el mayor respeto y consideración.

Se adjunta proyecto cuyos firmantes son los siguientes Diputados Nacionales;

1- Sebastián García

2- Edwin Reimer

3- Carlos Maria López

4- Kattya González

5- Sebastián Villarejo

6- Basilio Nuñez

7- Edgar Acosta Alcaraz

8- Antonio Buzarquis

EXPOSICIÓN DE MOTIVOS

Este proyecto de ley viene a llenar el actual vacío legal sobre una ley de protección de datos personales adecuada, integral y moderna. Con la derogación de la Ley 1682/2001 y sus leyes modificatorias, por la Ley nº 6534/2020 de Protección de Datos Personales Crediticios, se deja sin protección a los datos personales en general.

Este proyecto de ley enmarca la protección de datos personales como un derecho inherente a cada persona física, en relación al tratamiento de sus datos, ya sea a través de entes públicos o privados, con fines lucrativos o no, a través de cualquier medio de transmisión o divulgación existentes, incluyendo tecnologías existentes y nuevas tecnologías a ser desarrolladas.

Por ende, el proyecto de ley prevé ocuparse del tratamiento integral de datos personales, que constituye una asignatura pendiente. La visión integral resulta necesaria atendiendo a que los datos personales no son únicamente datos crediticios, sino que abarcan diversas facetas del individuo. La persona física debe tener el control de sus propios datos personales de manera eficaz para evitar una lesión en sus derechos más fundamentales.

La recopilación, procesamiento y comunicación inadecuada de datos personales puede significar una vulneración a derechos como la vida, la salud, la integridad física, psicológica o sexual, entre muchos otros; lesiones que ya se han familiarizado con la realidad paraguaya e internacional. Por ejemplo, se pueden alterar elecciones, determinar quién recibe servicios de salud o alimenticios, además de utilizar para trata de personas, narcotráfico, terrorismo, robo, ataque, o incluso exposiciones ilegítimas de bases de datos de carácter público o privado, generado grandes perjuicios sociales y económicos.

En Paraguay se volvió una práctica común que los abonados a servicios móviles, reciban innumerables mensajes o llamadas o para el ofrecimiento de cambio de aparatos celulares, créditos, planes de wi-fi, seguros odontológicos y un sinfín de ofertas, sin conocer cómo empresas con las que nunca tuvieron vínculo comercial obtienen su información. Toda esa información personal, puede ser tratada y abusada sin consentimiento, por falta de una regulación integral y por la falta de una autoridad de control independiente y efectiva.

La legislación nacional vigente es inadecuada y no ha sido actualizada según los usos modernos que se hacen de los datos y el desafío que esto representa. El creciente volumen y uso de datos personales, junto con la aparición de tecnologías que habilitan nuevas maneras de tratamiento y uso de los mismos, evidencia la importancia de regular un marco efectivo de protección de datos personales.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombró por primera vez a un Relator especial sobre derecho a la privacidad en la era digital en la era digital con la finalidad de que, entre otras tareas, presente informes que incluyan “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones al mismo.

En América Latina, muchas legislaciones han introducido este derecho, tutelándolo legalmente, y creando un órgano contralor de protección de datos. En Paraguay en el año 2001 el Poder Legislativo inició el proceso de regulación específica en la materia, pero aún no se han incorporado al derecho positivo nacional, normas integrales que tutelen el derecho a la autodeterminación informativa de forma eficaz.

La Red Iberoamericana de Protección de Datos (RIPD) adoptó una declaración con motivo de su 6° Encuentro, celebrado en Colombia en mayo de 2008, en la que invitaba a todas las conferencias internacionales en materia de protección de datos, independientemente de su ámbito geográfico, a concentrar sus esfuerzos con vistas a adoptar un instrumento jurídico conjunto.

La Unión Europea ha adoptado un nuevo marco normativo en la materia, con el objetivo de modernizar sus disposiciones y garantizar mayor solidez y coherencia en la protección efectiva del derecho fundamental a la protección de datos personales en la Unión Europea y con el fin de generar confianza en la sociedad en general y, a su vez, facilitar el desarrollo de la economía digital, tanto en su mercado interior como en sus relaciones globales. Este marco se posiciona como un referente obligado y determinante para la elaboración de las legislaciones nacionales de protección de datos en Iberoamérica.

Paraguay no es parte del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal suscrito en el ámbito del Consejo de Europa. Este convenio está abierto a la firma de otros Estados de la región y cabe destacar que Argentina y Uruguay sí lo han suscrito. La sanción de este proyecto de ley posibilitará al Paraguay a formar parte del mismo y dará herramientas para la colaboración internacional en investigación y cooperación.

Tomando en cuenta el acuerdo entre los bloques del Mercosur y la Unión Europea, aspiramos a transformar al Paraguay en un país que brinde un nivel de protección adecuado de acuerdo con los estándares promovidos por la Unión Europea, a efectos de acceder a la transferencia de datos personales desde esta y, con ello, facilitar la inversión de aquellos nichos de mercado que suponen tratamiento de datos provenientes de aquella. La inversión europea es superior en países “adecuados”, con relación a los países que no lo son. Además, estos estándares ayudarán a facilitar el desarrollo de la economía digital, promoviendo la innovación.

Para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección. Esto desalienta el comercio y genera que se prefieran destinos como Argentina, Uruguay, Brasil u otros países que sí cuentan con Ley de Protección de Datos Personales, dando certidumbre y confianza a usuarios, empresas, organizaciones y Estados a través de un marco jurídico sólido.

En el contexto económico mundial, los Estados que no han desarrollado normativa alguna sobre la materia, o tienen normativa incompleta, dispersa o contradictoria, presentan mayor desventaja, no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social.

Antecedentes del proyecto

El texto del proyecto de ley se originó en la Mesa de Trabajo de la Comisión de Ciencia y Tecnología de la Cámara de Diputados, liderado conjuntamente por su Presidente, el Diputado Sebastián García y la Coalición de Datos Personales (www.datospersonales.org.py), formada durante el cuarto Foro de Gobernanza de Internet del Paraguay – IGFPY en el año 2017 (www.igf.org.py).

En dicho foro se trataron temas de privacidad como expediente médico digital, computación en la nube y big data, así como el futuro en Internet en Paraguay. Luego del debate generado en varios de esos paneles se detectó la necesidad de adecuar la legislación nacional vigente que trata los datos personales, para adecuarla a la era de Internet, la economía digital, la Internet de las cosas (IoT) y la inteligencia artificial (IA).

El objetivo principal de la mesa de trabajo fue la redacción de un proyecto de ley sobre protección de datos personales que se adecuara a las nuevas tecnologías y al mundo globalizado, donde cada vez hay más transferencia internacional de datos.

La mesa de trabajo siguió los principios de la gobernanza de Internet, siendo abierto, colaborativo, voluntario, inclusivo y transparente, con la participación de múltiples partes interesadas. Se realizaron webinars de socialización y discusión con 9 expertos regionales y de la Unión Europea sobre datos personales, para debatir el anteproyecto de ley y compartir experiencias de los diferentes actores.

El proyecto de ley resultante está basado en la normativa y los estándares internacionales y se tuvieron en cuenta regulaciones existentes a nivel internacional específicas en la materia, como el Reglamento (UE) 2016/679, y legislación comparada que ha sido sancionada en los últimos años: Ley Orgánica de Protección de Datos de Carácter Personal de España, Anteproyecto de ley de Protección de Datos de Argentina, Lei Geral de Proteção de Dados de Brasil (LGPD), Ley de Protección de Datos Personales de Uruguay, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados de México, Ley de Protección de Datos Personales para el Distrito Federal de México. Así también se tuvieron en cuenta los comentarios de expertos internacionales de la Unidad de datos transfronterizos de la Unión Europea y Access Now. También se incluyeron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos establecidos por la Red Iberoamericana de Protección de Datos.

Además, se recibieron comentarios y contribuciones de la sociedad civil organizada, la comunidad empresarial, representantes del gobierno, del sector técnico y académico y ciudadanos interesados en el tema.

Se tuvieron 3017 visitas en la web www.datospersonales.org.py  y 103 comentarios recibidos en el borrador del proyecto de ley: https://proyecto.datospersonales.org.py/ Todos estos valiosos comentarios y sugerencias han sido debidamente valorados.

El proyecto de ley fue innovador al adoptar una plataforma que permitió una mayor interacción entre los participantes, asegurando que cada contribución fuera vista y comentada por todos los demás usuarios involucrados en el debate, asegurando una mejor sistematización del texto. El resultado de todo este proceso es el Proyecto que hoy se remite para su consideración.

Fundamento Jurídico

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que se encuentra reconocido con rango máximo en la Constitución, artículos 33, 34 y 35 que refieren al derecho a la intimidad, la inviolabilidad de los recintos privados y los documentos identificatorios. El artículo 36 también hace referencia a la inviolabilidad del patrimonio documental y la comunicación privada.

Los datos personales que ampara el precepto constitucional del derecho a la intimidad, son datos absolutamente personalísimos, que sólo pueden pertenecer a un individuo en concreto. Se lo define desde dos pilares: por un lado, el derecho a la protección de datos otorga la potestad a la persona cuyos datos pertenecen, a conocer quién tiene información sobre ella, cuál es dicha información, de dónde proviene y para qué finalidad se van a tratar sus datos. Por otro lado, este derecho se configura como el control sobre el uso que se hace de sus datos personales. Este control es lo que nos permite conocer qué datos nuestros se tratan y de qué manera, y ello conlleva a la necesidad  de protección jurídica sobre los datos personales .

La Doctrina se refiere al derecho de autodeterminación informativa y a controlar la información personal como una nueva dimensión de la tradicional concepción del derecho a la privacidad .

El objeto de protección de datos no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato, sea o no íntimo. Su objeto no es solo la intimidad individual, sino todos los datos de carácter personal, los que identifiquen o permitan identificar a la persona, realizando perfilamientos que podrían causar lesiones a su intimidad.

En Paraguay, existen normas dispersas en diferentes cuerpos legales que protegen aisladamente diferentes aspectos del derecho a la privacidad, y de forma incompleta. Alguna de ellas son: el Código Penal en su Artículo 147 Revelación de un secreto de carácter privado, Artículo 148 Revelación de secretos privados por funcionarios o personas con obligación especial,  Artículo 149 Revelación de secretos privados por motivos económicos; la Ley 4083/2011 “Que crea el programa de acompañamiento y protección a testigos y víctimas en procesos penales” en su Artículo 4º; la Ley 5777/2018 Protección integral a las mujeres contra toda forma de violencia, en su Artículo 9º Confidencialidad; la  Ley 6534/2020 de protección de datos personales crediticios; la Ley n° 5282/14 De Acceso a la Información Pública y Decreto reglamentario 4064/15; la Ley n° 5830/17 Que Prohíbe la publicidad no autorizada por los usuarios titulares de telefonía móvil; la Ley n° 1334/1998 de Defensa del Consumidor, Código Civil y Comercial (cartas o misivas como prueba, al nombre de las personas físicas o jurídicas); la Ley n° 4017/10 de Firma electrónica y Firma Digital; la Ley n°4868/2013 de Comercio Electrónico y su decreto reglamentario n° 1165/14; la Ley n° 861/96 de Bancos y Entidades Financieras; la Ley n° 489 Orgánica del Banco Central y el Código de la Niñez y la Adolescencia. Además, leyes Tributarias y Reglamentaciones como: la Ley n° 125/1991 Nuevo Régimen Tributario, la Ley n° 2421/04 De Reordenamiento Administrativo y de Adecuación Fiscal, la Ley n° 6380/19 de Modernización y Simplificación del Sistema Tributario, la Ley n° 6446 Tipifica Delito de uso de información privilegiada, el Código de Organización Judicial, la Ley n° 1266/1987 Del Registro Civil y modificatorias, la Ley n° 834/96 Código Electoral Paraguayo y sus modificatorias, los Códigos Procesales (normas sobre audiencias o proceso privados, pruebas documentales, consistentes en cartas o misivas, etc.), la Ley n° 6495/19 Autoriza la implementación del sistema de audiencias por medios telemáticos en el Poder Judicial y el Ministerio Público. También leyes contra el Lavado de Dinero como: la Ley n°6399 de Transparencia de Sociedades por Acciones, la Ley n° 6452 Registro Administrativo de Personas y Estructuras Jurídicas y de Beneficiarios Finales, entre otras.

En la actualidad carecemos de una regulación específica, uniforme, consolidada y actualizada en la materia. Esta carencia se hace vital ante la inminente implementación del proyecto de la “Agenda Digital” financiado por el BID. Este proyecto prevé una informatización de procesos públicos y privados nunca antes vista y sin un marco robusto, podría habilitar a vulnerabilidades en detrimento de toda la ciudadanía paraguaya.

Este proyecto de ley es transversal a todos los sectores y en especial a los proyectos de leyes en actual estudio en el Congreso Nacional:  nro. Expediente: D-2059099 “De los servicios de confianza para las transacciones electrónicas, del documento electrónico y los documentos transmisibles electrónicos”, nro. Expediente: S-209516 proyecto de ley “Que crea la historia clínica electrónica y el registro nacional de historias clínicas electrónicas”, nro. Expediente: S-198840 Proyecto de ley “De procedimientos administrativos”.

Finalmente, el reciente acuerdo sobre Comercio Electrónico del Mercosur MERCOSUR/CMC/DEC. nº 15/20, en su artículo 6º habla sobre la protección de datos personales y de la adopción por los Estados partes, de leyes, regulaciones o medidas administrativas que protejan la información de los consumidores del comercio electrónico, actualmente en estudio.  

El objeto de la ley

El objetivo de la ley es crear un marco general y coherente para la protección de datos personales, mediante normas precisas y detalladas para todos los sectores y la creación de una agencia encargada de la supervisión y ejecución de las disposiciones.

Se busca dotar a nuestro país de una legislación más moderna que respete los derechos y garantías establecidos por nuestra Constitución Nacional y que al mismo tiempo se adapte a las nuevas tecnologías y a los cambios regulatorios ocurridos en el derecho comparado durante los últimos años, dotando de seguridad jurídica tanto a los responsables de los tratamientos de datos como a los ciudadanos.

Características de la ley

La protección de datos no se reduce a los datos íntimos, sino a cualquier tipo de dato personal, traspasando su objeto la intimidad personal e imponiendo a terceros deberes como requerir el consentimiento para la recogida y uso de los datos personales, ser informado sobre el destino y poder acceder, rectificar y cancelar los propios datos.

Los principios de protección de datos personales enumerados en el Título II de la presente ley se encuentran en el centro del marco de protección de datos. La codificación efectiva de estos principios exige el desarrollo de un conjunto de derechos de los usuarios, una base jurídica para el tratamiento de datos, medidas de seguridad de datos, mecanismos de supervisión, obligaciones para las entidades que procesen datos, y medidas que habiliten la transferencia de datos a países terceros.

Ningún marco de protección de datos puede estar completo sin un mecanismo robusto de aplicación de la ley. Una ley de protección de datos sería deficiente e inaplicable si no existiera una autoridad que tuviera los poderes y recursos para monitorear su implementación, llevar a cabo investigaciones, y sancionar a las entidades en caso de violaciones de protección de datos.

Los Estándares de Protección de Datos enfatizan en la imperiosa necesidad de que cada Estado iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa. Además, tendrá facultades de supervisión e investigación en materia de protección de datos personales y será encargada de vigilar el cumplimiento de la legislación nacional en la materia.       

Debe además estar dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones.

Por ello se crea, la autoridad de protección de datos y del régimen de reclamaciones y sanciones. Caso contrario, se aumentará la judicialización de disputas para dirimir controversias vinculadas a la protección de datos personales en sede judicial, aumentando los costos transaccionales, y colocando la responsabilidad en los sujetos de derechos para hacer valer dichos derechos, yendo en contra de la tendencia a nivel internacional sobre marcos robustos en materia de protección de datos personales.

Análisis exegético del articulado

El texto del proyecto de ley contiene 10 títulos que hacen referencia a las disposiciones generales, los principios de protección de datos, las bases legales para el tratamiento de datos personales, el tratamiento de datos especiales (casos de datos sensibles, con fines de publicidad, video vigilancia, o en el ámbito de la administración pública o fuerzas de seguridad). También se ocupa de los derechos de los titulares de datos, del responsable y encargado de tratamiento, así como la transferencia internacional de datos personales.

El proyecto se refiere a la protección integral y consagra numerosos principios como el de exactitud (art. 6), licitud (art. 7), finalidad (art. 8), proporcionalidad (art. 9), lealtad (art. 10), transparencia (art. 11), límites a la conservación (art. 12), responsabilidad proactiva (art. 13), seguridad (art. 14) y confidencialidad (art. 15).

En el art. 16 se prevé que el tratamiento de datos personales sólo podrá realizarse en los siguientes casos:

1. con el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos, o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del interesado;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria;

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente.

Por lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

A los efectos de proteger situaciones especiales, la ley se refiere también a los casos en los que pueden utilizarse datos personales con los fines expuestos en el Título IV. También se prevé que los titulares de datos puedan ejercer su derecho a la información (art. 36), acceso a los datos (art. 37), rectificación (art. 38), oposición (art. 39), supresión (art. 40), portabilidad (art. 41) y a no ser objeto de decisiones individuales automatizadas (art. 42).

Se prevé la figura de un responsable y encargado de tratamiento que deberá adoptar las medidas técnicas y organizativas para el cumplimiento de las disposiciones previstas en la ley.

Se legisla sobre la transferencia internacional de datos, considerando la posibilidad de que las informaciones sobre una persona sean requeridas por algún particular o empresa extranjera en el marco de diferentes operaciones, previendo que pueda realizarse si el Estado cuenta con un adecuado nivel de protección de datos personales.

Se dispone la creación de la Agencia de Protección de Datos personales como un ente de derecho público y con facultades de ejercer acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de datos (art. 62).

Finalmente, se prevé el régimen de reclamaciones, faltas e imposición de sanciones.

Conclusión

El régimen de protección integral resulta necesario para la protección de los derechos de los habitantes del país y sus datos, brindándoles una protección adecuada equiparable a la de otros países de la región. Más aún, en el marco de una constante innovación tecnológica, el incremento del libre flujo de los datos personales que, en una economía global y digital, sobre los cuales se erigen las economías de los Estados.

En virtud de los antecedentes citados, y dada la urgencia de legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

Por los motivos que hemos desarrollado, solicitamos a las señoras diputadas y a los señores diputados que acompañen con su voto este proyecto.

Agradecimiento

A LAS PERSONAS QUE ENVIARON COMENTARIOS:

Marlene Samaniego, Bruno Duarte, Gaspar Pisanu, Gonzalo Fleitas, Jose Fernando Casañas Levi, Marcelo Galvan, Paloma Lara Castro, Miguel Candia, Pablo Palazzi, Stael Olmedo Cabral, Dolores Dozo, Ralf Sauer, Manuel García-Sánchez, Pablo Lacasa.

A LAS INSTITUCIONES PÚBLICAS QUE ENVIARON COMENTARIOS:

Asociación de Bancos del Paraguay, Banco Central del Paraguay, Comisión Nacional de Telecomunicaciones, Despacho del Dip. Edwin Reimer, Dirección Nacional de Propiedad Intelectual, Dirección General de los Registros Públicos, Ministerio de Hacienda, Ministerio de Relaciones Exteriores, Ministerio Público, Ministerio de Salud Pública y Bienestar Social, Ministerio de Tecnologías y Comunicaciones, Instituto de Previsión Social, Dirección General del Registro del Estado Civil.

REDACCIÓN DEL BORRADOR:

Cecilia Abente, Mariel Aranda, Natalia Enciso, Miguel Angel Gaspar, Adriana Marecos y Alberto Poletti.

EDICION FINAL:

Cecilia Abente, Luis Alonzo, Eduardo Carrillo, Natalia Enciso, Marlene Samaniego y Maricarmen Sequera.

Proyecto de Ley de Protección de Datos Personales en Paraguay

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON FUERZA DE LEY:

TÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto de La Ley.

La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de los derechos de sus titulares, y la libre circulación de tales datos, de conformidad a lo establecido en la Constitución Nacional y los Tratados Internacionales de los cuales la República del Paraguay es parte.

Artículo 2. Ámbito de Aplicación.

Las normas de la presente ley serán de aplicación cuando:

a. El responsable o encargado del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b. El responsable o encargado del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional o derivado de la celebración de un contrato;

c. El responsable o encargado no se encuentre establecido en territorio nacional y las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes, o bien, estén relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en la República del Paraguay, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

d. El responsable o encargado no se encuentre establecido en territorio nacional y utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.

Artículo 3. Excepciones a la ley

Se consideran exentos de aplicación de la presente ley, el tratamiento de datos cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.

Artículo 4. Limitaciones al derecho de la protección de datos

La legislación nacional que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en el Título V y los principios establecidos en el Título II, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) otros objetivos de interés público, en particular un interés económico o financiero importante, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en los incisos a) al e) y g);

i) la protección del titular del dato o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:

1. La finalidad del tratamiento.

2. Las categorías de datos personales de que se trate.

3. El alcance de las limitaciones establecidas.

4. Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.

5. La determinación del responsable o responsables.

6. Los plazos de conservación de los datos personales.

7. Los posibles riesgos para los derechos y libertades de los titulares.

8. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.

Artículo 5. Definiciones

A los efectos de la presente ley, se consideran las siguientes definiciones:

1. Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.

2. Datos Personales: datos que colaboren para identificar a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto también incluye metadatos y fragmentos de datos.

3. Datos personales sensibles: son los referentes a pertenencias raciales o étnicas, preferencias políticas, convicciones religiosas, filosófica o morales; participación o afiliación en una organización sindical o política; información referente a la salud, la preferencia o vida sexual, datos biométricos y genéticos vinculados a una persona física y, en general, los que fomenten prejuicios y discriminaciones ilícitas o arbitrarias,

4. Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

5. Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

6. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

7. Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa realizada por escrito o por medios electrónicos, así como por cualquier forma similar que la tecnología permita, el tratamiento de los datos personales que le conciernen.

8. Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

9. Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales en representación o mandato del responsable del tratamiento.

10. Representante: persona física o jurídica establecida en la República del Paraguay que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento, represente a los mismos en lo que respecta a sus respectivas obligaciones en virtud de la presente ley.

11. Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

12. Elaboración De Perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.

13. Normas de autorregulación Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio nacional para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

14. Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.

15. Bloqueo de datos: La identificación y reserva de datos personales con el fin de impedir su tratamiento.

16. Fuente de acceso público: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, conforme a la Ley nº 5282/2014 “De libre acceso ciudadano a la información pública y transparencia gubernamental”.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Artículo 6. Principio de exactitud de los datos

Los datos personales serán exactos, completos y actualizados. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

Artículo 7. Principio de licitud del tratamiento

Para que el tratamiento sea lícito, los datos personales deben ser tratados conforme a las bases jurídicas previstas en la presente ley en el artículo 16.

Artículo 8. Principio de finalidad

Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Artículo 9. Principio de proporcionalidad

El responsable y el encargado tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

Asimismo, los datos deberán someterse a revisión periódica para determinar si continúan cumpliendo la finalidad.

Artículo 10. Principio de lealtad

No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos. Para los efectos de la presente ley, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

Artículo 11. Principio de transparencia

El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Artículo 12. Limitación del plazo de conservación

No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La Autoridad de Control deberá establecer los plazos para la supresión y/o revisión periódica.

El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados o seudonimizado.

Artículo 13. Principio de responsabilidad proactiva

El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

Artículo 14. Principio de seguridad

En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.

Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:

a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

b. El estado de la técnica.

c. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

d. El alcance, contexto y las finalidades del tratamiento.

e. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

f. El número de titulares.

g. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

h. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Las condiciones técnicas de integridad y seguridad que deban reunir las bases de datos serán reguladas por la Autoridad de Control.

Artículo 15. Principio de confidencialidad

Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por decisión de un juez o tribunal.

TÍTULO III. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES

Artículo 16. Bases legales para el tratamiento de datos personales

El tratamiento de datos personales sólo podrá realizarse si se cumple al menos una de las siguientes condiciones:

1. mediante el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Titulo IV, Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del mismo;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales,

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria,

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente;

Lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 17. Consentimiento

Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tendrá efectos retroactivos.

En el caso de que se requiera consentimiento, si hay cambios en la finalidad para el tratamiento de datos personales que no sean compatibles con el consentimiento original, el responsable deberá informar al titular con anticipación sobre los cambios en la finalidad, y el titular puede revocar el consentimiento, si no está de acuerdo con los cambios.

El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección, siempre que se garantice la preservación de los derechos del titular, así como los fundamentos y principios establecidos en esta Ley. En ningún caso procederá para el tratamiento de datos sensibles.

Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 18. Consentimiento de niños, niñas y adolescentes

En el tratamiento de datos personales de una niña, niño o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la Convención Sobre Los Derechos Del Niño y demás instrumentos internacionales firmados y ratificados por la República del Paraguay que busquen su bienestar y protección integral.

El tratamiento de los datos personales de los y las adolescentes podrá fundarse en su consentimiento a partir de los catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los niños y niñas de hasta trece años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.

El responsable y encargado deberán realizar esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.

Artículo 19. Interés legítimo

El interés legítimo del responsable del tratamiento sólo puede sustentar el tratamiento de datos personales con fines lícitos, considerados desde situaciones concretas y siempre que no prevalezca el interés o los derechos y libertades fundamentales del titular del dato, que incluyen, pero no se limitan a:

1. Apoyo y promoción de las actividades del responsable del tratamiento; y

2. Protección, en relación con el titular, del ejercicio regular de sus derechos o prestación de los servicios que le beneficien, respetando sus legítimas expectativas y derechos y libertades fundamentales, en los términos de esta Ley.

Cuando el tratamiento se base en el interés legítimo del responsable del tratamiento, solo se podrán tratar los datos personales estrictamente necesarios para la finalidad prevista.

El responsable del tratamiento debe adoptar medidas para garantizar la transparencia del tratamiento de los datos en función de su interés legítimo.

La Autoridad de Control podrá solicitar al responsable del tratamiento un informe de impacto sobre la protección de datos personales, cuando el tratamiento se base en su interés legítimo, observando secretos comerciales e industriales.

El titular tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales basado en el interés legítimo del responsable.

TÍTULO IV. TRATAMIENTOS ESPECIALES

Artículo 20. Tratamiento de datos sensibles

A fin de evitar el tratamiento con fines discriminatorios, ilícitos o abusivos queda prohibido el tratamiento de datos personales sensibles salvo que:

1. El titular haya dado su consentimiento explícito y por escrito para el tratamiento de dichos datos personales, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad social;

3. El tratamiento sea necesario   para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;

5. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial, o en procesos administrativos o arbitrales;

6. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

7. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

8. Se realice en el marco de asistencia humanitaria en casos de desastres naturales;

9. Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico o que hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley;

10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar anonimizados o seudonimizado;

11. El tratamiento compartido de los datos sea necesario para la ejecución, por parte de la administración pública, de las políticas públicas previstas en las leyes.

Se prohíbe la comunicación o uso compartido entre responsables del tratamiento de datos personales sensibles relacionados con la salud con el fin de obtener una ventaja económica, salvo en los casos relacionados  con la prestación de servicios sanitarios, asistencia farmacéutica y asistencia sanitaria, incluidos los servicios auxiliares para el diagnóstico y la terapia, para el beneficio de los intereses de los titulares de los datos, y para permitir la portabilidad de datos cuando lo solicite el titular.

Se prohíbe a los operadores de planes de salud privados el procesamiento de datos de salud para la práctica de selección de riesgos al contratar cualquier modalidad, así como al contratar y excluir beneficiarios.

Artículo 21. Tratamiento de datos de información crediticia

Se remitirá a lo establecido en la ley nº 6534/20 de Protección de Datos personales crediticios

Artículo 22. Tratamiento de datos con fines de publicidad

Cuando los datos personales sean utilizados para perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren  en fuentes de acceso público o hayan sido  obtenidos con el  consentimiento de los propios titulares.

En toda comunicación con fines de publicidad que se realice por correo postal, teléfono, correo electrónico, Internet u otro medio de comunicación que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de las bases de datos a los que se refiere el presente artículo. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, el responsable cumplirá con lo establecido en el artículo 39 del derecho de oposición.

Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.

Artículo 23. Tratamientos con fines de videovigilancia

Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

Los datos serán suprimidos en un plazo máximo de hasta 6 meses desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

CAPÍTULO I. DISPOSICIONES APLICABLES A LA ADMINISTRACIÓN PÚBLICA

Artículo 24. Tratamiento de datos personales por la administración pública

El tratamiento de los datos personales por la Administración Pública debe considerar la finalidad, la necesidad, la buena fe y el interés público, con el objetivo de ejecutar las facultades legales o cumplir con las atribuciones legales, siempre que:

1. En ejercicio de sus competencias, realicen el tratamiento de datos personales, aportando información clara y actualizada sobre la disposición legal, finalidad, procedimientos y prácticas utilizadas para realizar estas actividades;

2. Designe un responsable para la realización de operaciones de tratamiento de datos personales, de conformidad con el 53, numeral 1 de esta Ley;

3. Los servicios notariales y registrales, que se realicen por delegación del Poder el Estado, tendrán el mismo tratamiento que las personas jurídicas de derecho público, en los términos de este Capítulo;

4. Los notarios y órganos registrales deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, a la vista de las finalidades a que se refiere el título de este artículo.

5. Las empresas públicas y las sociedades de capital mixto, cuando se encuentren operando políticas públicas y en el ámbito de su implementación, tendrán el mismo tratamiento que se le da a los órganos y entidades de la Administración Pública, en los términos de este Capítulo.

Los datos deben mantenerse en un formato interoperable y estructurado de uso compartido, con miras a la implementación de políticas públicas, la prestación de servicios públicos, la descentralización de la actividad pública y la difusión y acceso de la información al público en general.

La autoridad de control podrá solicitar, en cualquier momento, a los órganos y entidades de la Administración Pública para la realización de operaciones de tratamiento de datos personales, información específica sobre el alcance y naturaleza de los datos, garantías y demás detalles del tratamiento realizado.

La autoridad de control podrá establecer reglas complementarias para las actividades de comunicación y uso compartido de datos personales.

Artículo 25. Comunicación de datos personales entre instituciones públicas

Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:

1. La institución pública titular de la base de datos haya obtenido los datos en ejercicio de sus funciones,

2. El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias,

3. Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario en relación a esta última finalidad.

4. El titular de los datos sensibles haya dado su consentimiento.

El uso compartido de datos personales por parte de la Administración Pública debe servir para fines específicos, para la ejecución de políticas públicas y atribución legal por parte de organismos y entidades públicas, respetando los principios de protección de datos personales enumerados en el Título II de esta Ley.

Artículo 26. Comunicación de datos personales a entidades privadas

Se prohíbe a la Administración Pública transferir a entidades privadas datos personales contenidos en bases de datos a las que tenga acceso, salvo:

1. En los casos de ejecución descentralizada de la actividad pública que requiera la comunicación, exclusivamente para este fin específico y determinado, previsto en la ley y sujeta a salvaguardas específicas;

2. Cuando exista una disposición legal o la comunicación esté respaldada por contratos o convenios. Los contratos y acuerdos deben ser aprobados por la autoridad de control.

Artículo 27. Tratamiento de datos en el ámbito de la función estadística pública

El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.

Dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de los derechos del Titular establecido en los artículos 35 al 42 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación específica.

Artículo 28. Tratamiento de datos con fines de archivo en interés Público por parte de las Administraciones Públicas

Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley y leyes específicas que incluyan salvaguardas para la protección de los derechos de los titulares.

Artículo 29. Tratamiento de datos de naturaleza penal

El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en esta ley o en otras normas de rango legal.

El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de Administración de Justicia.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 30. Tratamiento de datos relativos a infracciones y sanciones administrativas.

El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:

1. Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.

2. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del titular del dato o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 31. Infracción del tratamiento de los datos personales por parte de las Instituciones públicas

Cuando se produzca una infracción a esta ley como consecuencia del tratamiento de datos personales por parte de instituciones públicas. La autoridad de control dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte y sin perjuicio de la responsabilidad civil y penal en que haya incurrido.

Artículo 32. Informes sobre el Impacto de la protección de datos personales

La autoridad de control podrá solicitar a las Instituciones Públicas que elaboren y publiquen informes sobre el impacto de la protección de datos personales y sugerir la adopción de normas y buenas prácticas para el tratamiento de datos personales por parte de la Administración Pública.

CAPÍTULO II. DISPOSICIONES APLICABLES A LAS FUERZAS ARMADAS, ORGANISMOS POLICIALES Y DE INTELIGENCIA

Artículo 33. De los tratamientos de datos personales con fines de defensa nacional o seguridad pública

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales e inteligencia, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios y proporcionales para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de las bases de datos que contengan los datos a los que se refiere en el presente artículo podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos podrá ponerlo en conocimiento de la Autoridad de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artículo 34. De la seguridad de las bases de datos

Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas adicionales de seguridad, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

TÍTULO V. DERECHO DE LOS TITULARES DE DATOS

CAPÍTULO I. EJERCICIO DE LOS DERECHOS

Artículo 35. Disposiciones Generales Sobre El Ejercicio De Los Derechos

El titular de datos o su representante podrán, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

El responsable tendrá un plazo de 30 (treinta) días corridos computados desde la presentación de la solicitud para dar respuesta a la solicitud del Titular.

Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control o podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite ante la autoridad de control.

El ejercicio de los derechos previstos en el presente capítulo en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

Artículo 36. Derecho a la Información

El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.

El responsable proporcionará al titular, al menos, la información siguiente:

a. Su identidad y datos de contacto que son el domicilio legal, número de teléfono y correo electrónico.

b. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales.

c. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

e. Tiempo de conservación de los datos personales.

En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

Artículo 37. Derecho De Acceso

El titular de datos tendrá el derecho a solicitar y obtener sus datos personales que obren en posesión del responsable. Previa acreditación de su identidad, la información deberá ser suministrada en forma clara, inteligible y exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

1. Las finalidades del tratamiento de datos;

2. Las categorías de datos personales de que se trate;

3. Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

4. El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

5. La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

6. El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

7. Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

8. La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 22 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos. La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, de imagen u otro idóneo a tal fin.

Artículo 38. Derecho De Rectificación

El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el

responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

Artículo 39. Derecho De Oposición

El titular de datos puede oponerse al tratamiento de sus datos personales, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del titular del dato o para el establecimiento, ejercicio o defensa de reclamaciones legales.

Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines en un plazo de 30 (treinta) días corridos desde el envío de la solicitud de oposición.

Artículo 40. Derecho De Supresión

El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.

Solo podrá requerirse en los siguientes casos:

1. El tratamiento no cumpla con los principios de lealtad, transparencia y legitimidad;

2. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

3. Haya vencido el plazo de conservación de los datos personales;

4. El titular de datos haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna o éste no se ampare en otro fundamento jurídico;

5. El titular de los datos haya ejercido su derecho de oposición conforme al artículo 39, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

6. Los datos personales hayan sido tratados ilícitamente;

7. Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

Artículo 41. Derecho a la Portabilidad

Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.

No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.

Este derecho no procederá cuando:

1. Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;

2. Vulnere la privacidad de otro titular de los datos;

3. Vulnere las obligaciones legales del responsable o encargado del tratamiento,

4. Impida que el responsable y/o encargado del tratamiento proteja sus derechos, su seguridad o sus bienes, o los del titular de los datos o tercero,

5. Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.

Artículo 42. Derecho a no ser objeto de decisiones individuales automatizadas o semiautomatizadas.

El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen en tratamientos automatizados o semi automatizadas destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

No se aplica lo anterior cuando el tratamiento automatizado o semi automatizadas de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, en la que se regularán, en su caso, garantías adicionales para los derechos, libertades y los intereses legítimos de los titulares, o bien, se base en el consentimiento expreso del titular de datos.

No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

El responsable no podrá llevar a cabo tratamientos automatizados o semi automatizados de datos personales sensibles.

TÍTULO VI. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

CAPÍTULO I. DISPOSICIONES GENERALES

MEDIDAS DE RESPONSABILIDAD ACTIVA

Artículo 43. Medidas para el cumplimiento de la responsabilidad activa

Los responsables determinarán las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley.

En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y en la consulta previa a que se refieren los artículos 49 y 50 de la presente ley.

Las medidas deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

1. La adopción de procesos internos para llevar adelante de manera efectiva la responsabilidad activa, incluyendo las medidas de privacidad por diseño y por defecto;

2. La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

3. La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

4. La revisión periódica de las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

5. La implementación de sistemas de administración de riesgos asociados al tratamiento de datos personales.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 44. Protección de datos desde el diseño y por defecto

El responsable del tratamiento debe aplicar, desde el diseño para el desarrollo de productos y servicios, medidas técnicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas físicas.

Artículo 45. Mecanismos de autorregulación vinculantes

El responsable o encargado del tratamiento podrá adherirse, de manera voluntaria, a mecanismos de autorregulación vinculante, que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Artículo 46. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

1. la seudonimización y el cifrado de datos personales;

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración

accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La adhesión a un código de conducta o a un mecanismo de certificación aprobado por la autoridad de control podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el presente artículo.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de la legislación nacional.

Artículo 47. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida y, de ser posible, a más tardar (72) setenta y dos horas después de que haya tenido constancia de ella. Si la notificación a la autoridad de control no tiene lugar en el plazo de (72) setenta y dos horas, deberá ir acompañada de indicación de los motivos de la dilación.

El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

La notificación deberá, como mínimo:

1. Describir la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de titulares de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados;

2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales;

4. Describir las medidas adoptadas y a adoptar por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 48. Comunicación de una violación de la seguridad de los datos personales al Titular

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas determinada por la autoridad, el responsable del tratamiento la comunicará al Titular sin dilación indebida.

La comunicación al Titular contemplada en el presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 47, numeral 2, 3 y 4.

La comunicación al Titular a que se refiere el presente artículo no será necesaria si se cumple alguna de las condiciones siguientes:

1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del titular del dato a que se refiere el presente artículo;

3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Titulares.

Cuando el responsable todavía no haya comunicado al Titular la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá que dicha comunicación no es necesaria si cumple alguna de las condiciones mencionadas en el tercer párrafo de este artículo.

Artículo 49. Evaluación De Impacto

Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b- Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o administrativas

c- Observación sistemática a gran escala de una zona de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

La evaluación debe incluir, como mínimo:

1. Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

3. Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.

4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

Artículo 50. Consulta Previa

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 49 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará la información siguiente:

1. Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

2. Los fines y medios del tratamiento previsto;

3. Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;

4. En su caso, los datos de contacto del delegado de protección de datos;

5. La evaluación de impacto relativa a la protección de datos.

6. Cualquier otra información que solicite la autoridad de control.

Cuando la autoridad de control considere que el tratamiento previsto podría infringir la presente Ley, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de 60 (sesenta) días corridos desde la consulta, asesorar por escrito al responsable, y en su caso al encargado, de conformidad con las funciones establecidas en el artículo 65 de la presente ley. Dicho plazo podrá prorrogarse por (45) cuarenta y cinco días corridos, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 30 (treinta) días corridos a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

Artículo 51. Posición del Delegado de protección de datos.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 53, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la presente Ley.

El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con la legislación nacional.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 52. Delegado de Protección de Datos

Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:

1. Cuando revistan el carácter de autoridades u organismos públicos; excepto los tribunales que actúen en ejercicio de su función judicial;

2. Se realice tratamiento a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales como parte de la actividad principal del responsable o encargado del tratamiento;

3. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de los titulares de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo 53.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 53.

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Artículo 53. Funciones del Delegado de Protección de Datos

El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

1. Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.

2. Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

3. Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

4. Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

5. Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

6. Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

7. Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

8. Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;

9. Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

CAPÍTULO II. ENCARGADO DEL TRATAMIENTO

Artículo 54. Funciones del Encargado del Tratamiento

El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo a la legislación nacional, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de la ley que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

3. tomará todas las medidas necesarias de conformidad con el artículo 46 de seguridad de tratamiento;

4. respetará las condiciones indicadas en el presente artículo para recurrir a otro encargado del tratamiento;

5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los titulares establecidos en el Título V;

6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en el 46 de seguridad del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de la ley;

8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe la presente Ley.

Artículo 55. Sub Encargado de Tratamiento

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos.

Artículo 56. Representantes de responsables o encargados del tratamiento no establecidos en Paraguay

Cuando sea de aplicación el artículo 2, inciso b) el responsable o el encargado del tratamiento designará por escrito un representante en la República del Paraguay.

La obligación del presente artículo no será aplicable cuando:

1. el tratamiento sea ocasional, que no incluyan el manejo a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o

2. el tratamiento sea realizado por las autoridades o instituciones públicas del extranjero.

El representante estará establecido en el territorio nacional cuando los titulares cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado estén en Paraguay. El responsable o encargado comunicará a la autoridad de control los datos de contacto de su representante. Las notificaciones o intimaciones serán realizadas en el domicilio del representante.

La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

TÍTULO VII. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Artículo 57. Reglas generales para las transferencias internacionales de datos personales

La transferencia internacional de datos personales se podrá realizar en cualquiera de los siguientes supuestos:

1. El país u organización internacional o supranacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales;

2. El exportador ofrezca garantías apropiadas al tratamiento de los datos personales, en cumplimiento de las condiciones mínimas y suficientes establecidas en esta ley.

En ausencia de una decisión de adecuación o de garantías apropiadas establecidos en el inciso 2), la transferencia se podrá realizar si se cumple una de las condiciones siguientes:

a) La transferencia sea necesaria para la cooperación jurídica internacional entre órganos de inteligencia pública, investigación y enjuiciamiento, de conformidad con los instrumentos del derecho internacional, con las debidas salvaguardas adicionales;

b)  La transferencia se encuentre prevista en esta ley u otras leyes, convenios o tratados internacionales en los que Paraguay sea parte siempre y cuando no sean contrarias a las disposiciones de esta ley;

c) La transferencia sea necesaria, para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

d) La transferencia sea necesaria para proteger la vida o la seguridad física del titular o de un tercero,

e) El titular del dato haya dado su consentimiento expreso, con información previa sobre el carácter internacional de la operación, distinguiéndose claramente de otros fines.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

 Artículo 58. Carácter adecuado del país u organismo receptor

El nivel de protección de datos del país extranjero o de la organización internacional o supranacional a que se refiere el inciso 1 del art. 57 de esta Ley, será evaluada por la autoridad de control, a pedido de parte interesada o de oficio, la cual tendrá en cuenta:

a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;

b) la naturaleza de los datos;

c)  observancia de los principios generales de protección de datos personales y derechos de los titulares previstos en esta Ley;

d) la adopción de las medidas de seguridad previstas en los reglamentos;

e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y

f) otras circunstancias específicas relacionadas con la transferencia.

Artículo 59. Transferencias mediante garantías adecuadas

Las garantías adecuadas de conformidad al numeral 2 del artículo 57 podrán ser aportadas, sin que se requiera ninguna autorización expresa de la autoridad de control, por:

a. un instrumento jurídicamente vinculante y exigible entre las autoridades o instituciones públicos;

b. mecanismos de autorregulación vinculantes de conformidad con el artículo 45;

c. cláusulas tipo de protección de datos adoptadas por la autoridad de control

d. un código de conducta aprobado con arreglo al artículo 65, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los titulares de datos, o

e. un mecanismo de certificación aprobado por la autoridad de control, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los titulares de datos.

Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el inciso 2 del artículo 57, podrán igualmente ser aportadas, en particular, mediante:

1. cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o supranacional, o

2. disposiciones que se incorporen en acuerdos administrativos entre las autoridades o instituciones públicas que incluyan derechos efectivos y exigibles para los titulares de datos.

Artículo 60. Cambios de las garantías

Los cambios en las garantías que se presenten como suficientes para cumplir con los principios generales de protección y los derechos del titular a que se refiere el inciso 2 del art. 57 de esta Ley debe ser comunicada a la autoridad de control.

Artículo 61. Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales

A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente Ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

TÍTULO VIII. AUTORIDAD DE PROTECCIÓN DE DATOS

CAPÍTULO I. AUTORIDAD DE CONTROL

Artículo 62. Naturaleza de la Autoridad de control y supervisión

La Agencia de Protección de Datos Personales es un ente de derecho público y es el organismo encargado del control y cumplimiento de las leyes en materia de protección de datos personales con plena autonomía e independencia en el ejercicio de sus funciones.

Compete a la Agencia de Protección de Datos Personales el ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos.

Le corresponde así también la asistencia técnica a cualquier institución que lo solicite para la protección de datos personales.

La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Artículo 63. Nombramiento de Autoridades en materia de protección de datos personales

La Agencia de Datos Personales estará conformada por un Director o una Directora y un Subdirector o una Subdirectora, quienes deberán ser de nacionalidad paraguaya, de 30 (treinta) años cumplidos y deberán contar con antecedentes personales, profesionales y de conocimiento, en particular respecto al ámbito de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge de una persona que esté en alguno de los supuestos mencionados anteriormente.

Para su elección, el Poder Ejecutivo remitirá a la Cámara de Senadores una lista de (3) tres candidatos a Director o Directora y tres candidatos a Subdirector o Subdirectora, de entre los cuales la Cámara de Senadores elegirá a uno para cada cargo por mayoría absoluta.

Artículo 64. Duración del mandato y remoción de las autoridades

El Director o la Directora y el Subdirector o la Subdirectora durarán 5 (cinco) años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción en los casos de mal desempeño de sus funciones o la comisión de delitos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.

El directora o la directora y el subdirector o subdirectora podrán ser removidos, por faltas graves e irregularidades cometidas en el ejercicio de sus funciones, por las causas siguientes:

 a) El mal desempeño de sus funciones;

b) El desempeño de un empleo, cargo o comisión distinto de lo previsto en esta Ley, excepto la docencia a tiempo parcial.

c) Utilizar en beneficio propio o de terceros la información confidencial de que disponga en razón de su cargo,

d) incapacidad sobrevenida para el ejercicio de su función,

e) condena firme por delito doloso.

En caso de incurrir en las conductas descritas en el párrafo anterior, se aplicarán análogamente las mismas sanciones establecidas en la Ley No 1626/00 “DE LA FUNCIÓN PÚBLICA”.

Artículo 65. Facultades de la Autoridad de Control

La Agencia de Protección de Datos Personales cuenta con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de la presente ley, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

La autoridad de control tendrá las siguientes funciones y atribuciones:

a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los medios legales de que disponen para la defensa de sus derechos;

b. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de las actividades comprendidas por esta Ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente Ley;

d. Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente Ley y las normas que dicte la autoridad de control;

e. Solicitar información a las instituciones públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f. Imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente Ley y de las reglamentaciones que se dicten en su consecuencia;

g. Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente Ley;

h. Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento con lo dispuesto en el artículo 45;

I.  Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 49,

j.  Solicitar información a los Delegados de Protección de Datos, en los términos de lo previsto en la presente Ley.

k. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, de carácter internacional o transnacional, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;

l. Preparar informes anuales de gestión sobre sus actividades;

m. Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a la protección de datos personales.

n. Colaborar con el Ministerio de Tecnologías de la Información y Comunicación en las políticas públicas, investigación y en la gestión de seguridad de la información y ciberseguridad sobre las infraestructuras de bases de datos que contengan datos personales para la adecuada protección de los mismos.

Artículo 66:  De las funciones del Director o de la Directora

Le corresponde al Director o la Directora:

1. Representar a la Agencia de Protección de Datos en todos los actos en que ella intervenga,

2. Dirigir las actividades de la institución de conformidad a lo establecido en esta Ley y su reglamentación.

3. Controlar y hacer aplicar la presente ley.

4. Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

5. Brindar información y tratar las reclamaciones de cualquier titular en relación con el ejercicio de sus derechos en virtud de la presente ley.

6. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

El Director o Directora se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

Artículo 67: De las funciones del Subdirector o de la Subdirectora

Al Subdirector o la Subdirectora le corresponde sustituir al Director o Directora en caso de impedimento, ausencia temporal o vacancia definitiva, asumiendo de inmediato todas sus atribuciones, cooperar con la labor de conformidad a esta Ley; y supervisar el funcionamiento de las distintas dependencias de la Agencia de Protección de Datos Personales.

Artículo 68. De los recursos de la Agencia de Protección de Datos Personales

Los recursos financieros de la Agencia de Protección de Datos Personales estarán constituidos por:

1. Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación para el mantenimiento e incremento de sus funciones.

2. Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en esta Ley.

3. Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional, siempre que no implique conflicto de interés.

TÍTULO IX. RECLAMACIONES Y SANCIONES

Artículo 69. Régimen de reclamaciones y de imposición de sanciones

El titular de los datos o su representante legal puede iniciar una reclamación ante la autoridad de control para hacer efectivos sus derechos, así como recurrir a la tutela judicial para ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de su derecho a la protección de datos personales conforme a las normas establecidas en la presente ley.

Artículo 70. Procedimiento para la reclamación

La reclamación será presentada por escrito o por medio electrónico, en la plataforma habilitada por la Autoridad de Control y deberá ser respondida por el medio elegido por el solicitante dentro del plazo de 15 (quince) días hábiles.

La autoridad encargada podrá requerir las informaciones a instituciones públicas, privadas y a particulares, que deberán responder dentro del plazo de 15 (quince) días hábiles.

 La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.

La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias. La Autoridad de Control reglamentará el procedimiento a seguirse.

Artículo 71. Régimen de faltas y sanciones

La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas de las personas físicas y jurídicas que contravengan lo dispuesto en la presente ley.

Artículo 72. Prescripción de sanciones

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 73. Faltas leves

Se consideran faltas leves y prescribirán al año, las siguientes infracciones:

1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.

2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

4. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

5. La notificación incompleta, tardía o defectuosa a la autoridad de control de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 47 de la presente ley.

6. Negarse injustificadamente a dar acceso a un titular del dato sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

7. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo 54 de esta ley.

8. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

Artículo 74. Faltas graves

Se consideran graves y prescribirán a los dos años, las siguientes infracciones:

1. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.

2. Reiteración en la negativa injustificada de dar acceso a un titular sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

3. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

4. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.

5. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

6. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

8. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.

9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

10. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.

11. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 56 de la presente ley.

12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo 5 de esta ley.

13. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

14. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

15. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 47 de la presente ley.

16. El incumplimiento del deber de comunicación al Titular de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 48 de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

17. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

18. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.

19. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 52 de esta ley.

20. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

21. La utilización de un sello o certificación nacional o internacional falso en materia de protección de datos o en caso de que las vigencias de los mismos hubieran expirado.

22. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

23. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por los artículos 38 y 40 de esta ley.

24. El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento.

25. La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 36 de esta ley.

26. La exigencia del pago de un canon para el ejercicio de cualquiera de los derechos establecidos en el Título V, Capítulo I de los derechos de los titulares de datos.

Artículo 75. Faltas muy graves

Se consideran muy graves y prescribirán a los tres años, las siguientes infracciones:

1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las bases legales establecidas en la legislación vigente.

2. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

3. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.

4. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

5. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido.

6. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

7. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el artículo 29.

8. La vulneración del principio de confidencialidad establecido en el artículo 15 de esta ley.

9. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos y excepciones establecidos en los artículos 57 y 59 de esta ley.

10.          No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.

11. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.

12. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la re-identificación de los titulares.

13. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las bases legales establecidas en esta ley.

En el numeral 8, el titular del dato que se vea vulnerado por el principio de confidencialidad podrá además accionar en base al artículo 147 de la Ley 1160/97 “Código Penal”.

Artículo 76. Incumplimiento por parte de instituciones públicas

Las sanciones pecuniarias indicadas en este capítulo sólo se aplican a las personas de naturaleza privada. En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de instituciones públicas, actuará de conformidad con el artículo 31.

Artículo 77. Sanciones administrativas

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:

1. Apercibimiento como primera instancia;

2. Multas:

a. Para las faltas leves, hasta 500 (quinientos) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

b. Para las faltas graves, hasta 10.000 (diez mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

c. Para las faltas muy graves, hasta 35.000 (treinta y cinco mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de 1 (uno) a 6 (seis) meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.

3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse;

4. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control;

5. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Artículo 78: Criterios para las sanciones administrativas

Las sanciones se aplicarán luego de un procedimiento administrativo que permita la oportunidad de una amplia defensa, de manera gradual, aislada o acumulativa, según las peculiaridades del caso específico y considerando los siguientes parámetros y criterios:

A. la gravedad y naturaleza de las infracciones y los derechos personales afectados;

B. la buena fe del infractor;

C. la ventaja obtenida o pretendida por el infractor;

D. el tamaño de la persona jurídica y la situación económica del infractor;

E. reincidencia;

F. el grado de daño;

G. la cooperación del infractor;

H. la adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;

I. la adopción de una política de buenas prácticas o código de conductas;

J. la pronta adopción de medidas correctivas;

K. la proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.

Artículo 79.- Pago de multas

El monto de las multas deberá ser pagado dentro del plazo de treinta días, contados desde la notificación.

Artículo 80.- Falta de pago de multas

Si la multa no fuera pagada y hubiera resolución firme, la Autoridad de control, podrá demandar judicialmente al infractor por medio de juicio ejecutivo ante el Juzgado de Primera Instancia en lo Civil y Comercial de la capital, acompañando copia de la resolución que aplicó la sanción o de la sentencia ejecutoriada en su caso, la que tendrá por sí sola fuerza ejecutiva.

En este juicio, el demandado no podrá oponer otras excepciones que la de prescripción, la falta de acción, y la de pago total.

Artículo 81.- Intereses por falta de pago de multas

El retardo en el pago de toda multa que aplique la Autoridad de Control, en conformidad a la Ley, devengará los intereses de mercado correspondiente al promedio de la tasa activa.

Si la multa no fuere procedente y no obstante hubiese sido pagada, la Autoridad de Control, o el juzgado respectivo, según corresponda, deberá ordenar se devuelvan las sumas pagadas, con los intereses establecidos por Ley.

Artículo 82.- Prescripción de la acción de cobro de multa

La acción de cobro de una multa prescribe en el plazo de 5 (cinco) años, contados desde que se hizo exigible.

TÍTULO X. RECURSOS

Artículo 83.- Recurso de reconsideración

Todo recurso de reconsideración contra una resolución o acto administrativo de carácter no reglamentario por parte de la Autoridad de Control, deberá agotarse en la instancia administrativa. Posterior a esto, estará sujeto al control jurisdiccional ante el Tribunal de Cuentas.

Artículo 84.- Contenido y forma de presentación

La reconsideración se formulará por escrito y contendrá en forma clara y precisa los hechos y el derecho en que se fundamenta. El plazo para su interposición será de cinco días hábiles, contados a partir de la notificación de la resolución.

La Autoridad de Control dispondrá de cinco días hábiles para resolver el recurso de reconsideración, transcurridos los cuales, sin que medie resolución, se entenderá que rechaza el recurso. La interposición del recurso de reconsideración suspenderá el plazo para recurrir ante el Tribunal de Cuentas.

Artículo 85.- Acción contencioso-administrativo

La acción contencioso-administrativo deberá interponerse ante el Tribunal de Cuentas, dentro del plazo de 18 (dieciocho) días hábiles, contados desde la notificación del acto recurrido.

El recurso de reconsideración y la acción contencioso-administrativo, tendrán efecto suspensivo para la aplicación de multas.

XI. DISPOSICIONES FINALES

Artículo 86. Disposiciones finales

La presente Ley entrará en vigencia luego de transcurridos 12 (doce) meses de su publicación oficial.

Artículo 87. Reglamentación

El Poder Ejecutivo reglamentará la presente Ley en un plazo máximo de 90 (noventa) días desde su publicación oficial.

Artículo 88. Comuníquese al Poder Ejecutivo