Archivos de la etiqueta: Tratamiento Datos

07May/21

Ley nº 6534/20 de 27 de octubre de 2020

Ley nº 6534/20 de 27 de octubre de 2020. Ley de Protección de Datos Personales Crediticios. (Deroga la ley 1682/01,de 28 de diciembre de 2000).

LEY N° 6534 DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON FUERZA DE LEY:

CAPÍTULO I. DISPOSICIONES GENERALES.

Artículo 1°.- OBJETO.

La presente Ley tiene por objeto garantizar la protección de datos crediticios de toda persona, cualquiera sea su nacionalidad, residencia o domicilio.

También se busca regular la actividad de recolección y el acceso a datos de información crediticia, así como la constitución, organización, funcionamiento, derechos, obligaciones y extinción de las personas jurídicas que se dediquen a la obtención y provisión de información crediticia, con el fin de preservar los derechos fundamentales, la intimidad, la autodeterminación informativa, la libertad, la seguridad y el trato justo de las personas, de conformidad con lo establecido en la Constitución Nacional, la presente Ley y los Tratados suscritos y ratificados por la República del Paraguay.

Artículo 2°.- ÁMBITO DE APLICACIÓN.

Esta Ley es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en el territorio nacional en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.

Artículo 3°.- DEFINICIONES.

A los efectos de la presente Ley, se entiende por:

Datos Personales: Información de cualquier tipo, referida a personas jurídicas o personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Los derechos y garantías de protección de datos personales serán extendidos a personas jurídicas en cuanto le sean aplicables.

Datos personales sensibles: Aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. Se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.

Titular de Datos: Persona física o jurídica, cuyos datos son objeto de tratamiento.

Base de datos: Cualquier plataforma, archivo, registro o banco de información que contenga de manera manual o electrónica, o de cualquier otra índole que pudiera surgir, información referida a las personas.

Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

Responsable del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

Encargado del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Información crediticia: Es aquella información, positiva y negativa, relacionada con el historial crediticio de personas físicas y jurídicas, acerca de actividades crediticias, comerciales y otras de naturaleza análoga, que sirva para identificar correcta e inequívocamente a la persona, su domicilio, actividad comercial, determinar su nivel de endeudamiento, de cumplimiento de sus obligaciones y, en general, de riesgos crediticios en un determinado momento.

Fuentes de información: Cualquier persona o entidad pública o privada que en el ejercicio de sus funciones o actividades, gestionen una base de datos personales o crediticios.

Fuentes de información crediticia: Son las personas públicas y privadas que, debido a sus actividades, poseen información crediticia. A los efectos de esta Ley, serán consideradas fuentes de información los Organismos y Entidades del Estado, y Entidades Administradoras de Fondos Previsionales que, por su naturaleza y funciones, posean información relevante para el análisis del riesgo crediticio.

Sociedad de información crediticia: Conocida también como Buró de Información Crediticia. Es la sociedad cuyo objeto social es la prestación de servicios de referencias crediticias sobre el titular de la información crediticia, que se adecuen a los requisitos establecidos en esta Ley.

Usuario de información crediticia: Toda persona, física o jurídica, con interés legítimo que contrata la prestación de servicios de referencias crediticias. El interés legítimo está configurado por el empleo del crédito bajo sus diversas modalidades o la intermediación para el perfeccionamiento de este tipo de operaciones, como herramienta habitual de gestión en la actividad económica desarrollada, incluidos los contratos con prestaciones diferidas que impliquen pagos periódicos de sumas de dinero por plazos determinados, así como relaciones comerciales que pudieran existir entre los usuarios y titular del derecho.

Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular de datos acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.

Artículo 4°.- PROHIBICIÓN.

Se prohíbe dar a publicidad o difundir datos sensibles de personas que sean explícitamente individualizadas o individualizables.

Artículo 5°.- DERECHO A LA AUTODETERMINACIÓN INFORMATIVA.

Se garantiza a toda persona el acceso a la información y a los datos sobre sí misma, sobre quienes se hallen bajo su patria potestad y sobre personas que acredite se hallen bajo su tutela o curatela, así como sobre sus bienes, que obren en registros oficiales o privados de carácter público o en entidades que suministren información sobre solvencia económica y situación patrimonial, así como conocer el uso que se haga de los mismos o su finalidad y a requerir su acceso, rectificación, cancelación y oposición.

Artículo 6°.- DEL CONSENTIMIENTO INFORMADO.

Toda persona tiene derecho a ser informada en forma expresa y clara sobre la finalidad que se dará a los datos personales requeridos sobre ella, a fin de manifestar expresamente su consentimiento para la obtención y utilización de sus datos personales, el cual deberá ser expreso e inequívoco, en condiciones que no admitan dudas de su otorgamiento y deberá constar de manera escrita, electrónica, digital u otro mecanismo fehaciente. El consentimiento podrá ser revocado de forma expresa en las mismas condiciones y a título gratuito. Este acto no generará efecto retroactivo.

El tratamiento y la cesión de datos personales son ilícitos cuando el titular de los datos no hubiere prestado su consentimiento libre, expreso y consciente.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 7°.- CALIDAD DE LA INFORMACIÓN.

Los datos personales recolectados o almacenados deberán ser lícitos, exactos, completos, veraces y actualizados para el fin específico para los que fueron recolectados.

Artículo 8°.- EJERCICIOS DE LOS DERECHO DEL TITULAR DE DATOS.

El titular de datos o su representante tiene derecho a acceder a los datos personales que de ella consten en registros mantenidos por personas físicas o jurídicas, públicas o privadas, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento.

Éste podrá solicitar, en cualquier momento al responsable, el acceso, actualización, rectificación, la supresión, oposición y portabilidad de los datos personales que le conciernen.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

En caso de personas fallecidas, el ejercicio de los derechos establecidos en la presente Ley corresponderá a sus herederos o legatarios.

Artículo 9°.- DERECHO AL OLVIDO DE DATOS CREDITICIOS.

La conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo de 5 (cinco) años, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados los datos personales de su titular.

Artículo 10.- SEGURIDAD DE LOS DATOS.

El responsable del tratamiento de los datos personales crediticios deberá garantizar la adopción e implementación de medidas técnicas, organizativas y de seguridad necesarias para salvaguardar el acceso y la integridad de los datos personales, a fin de evitar su alteración, pérdida, consulta, comercialización o acceso no autorizado.

Artículo 11.- DEBER DE SECRETO.

Las personas responsables, encargadas del tratamiento de datos crediticios y quienes intervengan en cualquier fase de la recolección, procesamiento, almacenamiento, utilización o circulación de datos con fines crediticios están obligados a guardar el secreto respecto de los mismos, salvo que requiera ser revelado por autoridad competente mediando orden judicial.

El deber de secreto se mantiene aun cuando la persona responsable cese en sus funciones.

Esta obligación es extensible a las personas debidamente reconocidas como usuarios o suscriptores de una Empresa de Información Crediticia, que tengan acceso, de conformidad con lo establecido en la Ley, al historial de datos de un titular; pues deberán guardar absoluta reserva y cuidado sobre la información obtenida.

El deber de secreto no regirá cuando la información sea requerida por:

El Banco Central del Paraguay y sus órganos de supervisión, en ejercicio de sus facultades legales.

La autoridad judicial competente, en virtud de resolución dictada en juicio en el que el afectado sea parte. En tal caso, deberán adoptarse las medidas pertinentes que garanticen la reserva.

El Contralor General de la República, en el marco de sus atribuciones, sobre la base de las siguientes condiciones:

 Debe referirse a una persona física o jurídica determinada.

Debe encontrarse en curso una auditoría o verificación patrimonial con respecto a esa persona.

La misma deberá ser solicitada formalmente.

La máxima autoridad de la Subsecretaría de Estado de Tributación y de la Dirección Nacional de Aduanas, en el marco de sus atribuciones, sobre la base de las siguientes condiciones:

Debe referirse a un responsable o contribuyente determinado.

La información deberá ser solicitada formalmente.

Debe encontrarse en curso una verificación con respecto a ese responsable o contribuyente.

La Fiscalía General del Estado y los agentes fiscales que conforman el Ministerio Público, en el marco de las atribuciones que le son legalmente conferidas por la legislación.

La Secretaría de Prevención de Lavado de Dinero o Bienes, en el marco de las atribuciones que le son legalmente conferidas por la legislación.

CAPÍTULO II. DE LOS SERVICIOS DE INFORMACIÓN CREDITICIA.

Artículo 12.- PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA.

Las personas jurídicas que presten servicios de información crediticia tanto del sector financiero como del no financiero, podrán tratar datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes públicas o que procedan de informaciones facilitadas por el titular de los datos o con su consentimiento, que permitan conocer el cumplimiento de sus obligaciones y todo aquel que contribuya al análisis de su perfil crediticio y determinar su capacidad de pago.

Igualmente se incluirán las morosidades de prestación alimenticia, desde el momento de la iniciación de la demanda.

Artículo 13.- BURÓS DE INFORMACIÓN CREDITICIA.

Los servicios de referencias crediticias sólo podrán ser prestados por las sociedades de información crediticia, las que serán conocidas como Burós de Información Crediticia y autorizadas para operar como tales por el Banco Central del Paraguay.

La supervisión estará a cargo del Banco Central del Paraguay, de acuerdo a la reglamentación que éste determine por resolución de carácter general. Los requisitos que deberán contener las solicitudes de apertura de sociedades de información crediticia, las inhabilidades, incompatibilidades de sus directores o gerentes, así como los requisitos que deben reunir estas sociedades y sus accionistas, serán reglamentados por el Directorio del Banco Central del Paraguay.

El capital social mínimo requerido para la constitución de las sociedades de información crediticia será determinado por el Banco Central del Paraguay y deberá estar íntegramente suscripto e integrado al momento de su constitución.

Artículo 14.- DE LOS USUARIOS.

Las sociedades de información crediticia sólo podrán prestar servicios de referencias crediticias a usuarios de información crediticia debidamente identificados.

Sólo podrán ser usuarios de información crediticia:

a) Las entidades de intermediación financiera y de crédito, supervisadas por el Banco Central del Paraguay.

b) Las entidades controladas por el Instituto Nacional de Cooperativismo (INCOOP).

c) Las personas físicas o jurídicas que en forma empresarial otorguen crédito.

d) Las mutuales, casas de préstamos y casas de empeño.

e) Las personas físicas y jurídicas que cuenten con el Registro Único de Contribuyentes y la patente (licencia) comercial actualizados, que se dediquen de manera habitual a la venta a crédito de productos, así como aquellas que presten servicios instrumentados en contratos de ejecución diferida, que impliquen pagos periódicos de sumas de dinero por plazos determinados, o que requieran analizar información crediticia para la toma de decisiones de negocio.

f) Las personas físicas y jurídicas que cuenten con el Registro Único del Contribuyentes y la patente (licencia) comercial actualizados y que mediante el uso de plataformas tecnológicas, funcionen como un canal o medio para facilitar la intermediación o la conexión de los créditos ofrecidos por los demás usuarios a los titulares de datos, permitiendo que éste pueda acceder a la oferta de crédito que se ajuste a su perfil crediticio de forma eficiente.

Para el eficaz funcionamiento del sistema de información crediticia, los usuarios de información crediticia estarán obligados a proveer regularmente a las sociedades de información crediticia los datos actualizados de los clientes de su cartera crediticia, en especial la información de cumplimiento de obligaciones crediticias, las que deberán ser notificadas en el plazo máximo de veinticuatro horas de cancelación.

Artículo 15.- PROHIBICIONES.

Está expresamente prohibido a los usuarios de Información crediticia utilizar o proveer a terceros datos crediticios para que éstos sean utilizados para la toma de decisiones laborales, acceso al empleo, promoción, traslado o despido de personal.

Asimismo, queda expresamente prohibido el uso de la información crediticia para negar o restringir el acceso a la medicina prepaga, así como negar o restringir al acceso a la atención médica de urgencia a cualquier persona.

Artículo 16.- DERECHOS DE LOS TITULARES DE LA INFORMACIÓN CREDITICIA.

Los titulares de la información tendrán derecho a:

a) Conocer si en la base de datos de una sociedad de información crediticia existe información sobre sí mismo y, si así fuere, acceder de forma personal a ella sin restricción alguna.

b) Conocer de manera clara y precisa la condición en que se encuentra su historial crediticio, a través de los reportes emitidos.

c) Exigir de la fuente de información crediticia, la actualización, rectificación o eliminación de la información ilegal, inexacta, incompleta, que afecte sus derechos constitucionales y comunicarla a la sociedad de información crediticia para que ésta la rectifique.

La información debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible. Además de ello, la información debe versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales.

El acceso, la rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el titular del dato o la información.

Artículo 17.- OBLIGACIONES DE LOS BURÓS DE INFORMACION CREDITICIA.

Son obligaciones de las sociedades de información crediticia, enunciativa y no limitativamente, las siguientes:

a) Manejar la información con altos estándares de ética, confidencialidad y seguridad.

b) Contar con medidas eficientes que impidan que la información crediticia pueda perderse o ser alterada.

c) Reportar la información crediticia sin alteración o modificación alguna.

d) Rectificar la información crediticia, a pedido de la fuente o del titular de la información. Las sociedades de información crediticia no pueden rectificar de oficio la información que les ha sido transmitida, salvo que el error pueda ser atribuido a las sociedades de información crediticia.

e) Canalizar hacia las fuentes de la información, los reclamos de los titulares en relación a información ilegal, inexacta, errónea, cuando la ilegalidad, inexactitud o error no sea atribuible a la sociedad de información crediticia.

f) Mantener actualizados los datos del registro que gestiona, referidos tanto a información positiva o negativa.

g) Eliminar la información que hubiese caducado conforme a los términos de la presente Ley.

h) Informar, a solicitud del titular de los datos, de manera verbal o escrita, sobre el historial completo de datos personales crediticios. La información deberá ser entregada dentro del plazo máximo de veinticuatro horas si no estuviese disponible de manera inmediata.

i) No tramitarán ni divulgarán:

Los datos crediticios de deudas vencidas no reclamadas judicialmente que hayan superado 3 (tres) años de inscripción.

Las deudas canceladas de manera inmediata, una vez recibida la notificación de la fuente de información.

Sobre juicios de convocatoria de acreedores después de 5 (cinco) años de la resolución judicial que la admita.

El Banco Central del Paraguay podrá imponer otras obligaciones a través de resoluciones generales.

Artículo 18.- OBLIGACIONES DE LOS USUARIOS.

Son obligaciones de los usuarios de los servicios de información crediticia, enunciativa y no limitativamente, las siguientes:

Entregar a las sociedades de información crediticia la información positiva y negativa de sus propios clientes.

Utilizar la información crediticia consultada a las sociedades de información crediticia en forma confidencial y destinarla solo a la evaluación de riesgos crediticios.

Informar sobre la venta o cesión de carteras de crédito a empresas especializadas en la adquisición de deudas o a otros adquirentes o cesionarios a las sociedades de información crediticia, con las cuales tenga celebrado un contrato de prestación de servicios de información crediticia, dentro de los 20 (veinte) días hábiles siguientes a la citada notificación, debiendo mencionar el nombre, domicilio, Registro Único del Contribuyente y cualquier otro dato que permita identificar plenamente al comprador o cesionario, así como la fecha en que se celebró la cesión o venta.

En caso de denegación al titular de los datos de la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, basado en un informe crediticio, el usuario deberá informar tal circunstancia, así como la de proveer el informe accedido, entregando copia de éste.

Los usuarios de la información de crédito, deberán informar al titular de los datos personales sobre la consulta a realizarse sobre su información crediticia, la empresa que proveerá los datos, el uso que se dará a los datos accedidos, copia del informe accedido en caso de que el titular de los datos lo requiera y los derechos que le asisten.

El Banco Central del Paraguay podrá imponer otras obligaciones a través de resoluciones de carácter general.

Artículo 19.- PLAZO DE CONSERVACIÓN DE LA INFORMACIÓN CREDITICIA. La información crediticia podrá publicarse por un tiempo máximo de 5 (cinco) años, a contar desde la última información significativa, o desde el vencimiento del plazo original de la operación de crédito de que se trate, el que fuera mayor.

Se considera información significativa:

El momento en que se produce la mora del deudor.

Las modificaciones en las clasificaciones que otorgan al deudor las entidades crediticias.

El inicio de la acción judicial de cobro.

La sentencia judicial que dispone el pago de la deuda.

La fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente.

Aquella otra información que defina el órgano de control.

CAPÍTULO III. DISPOSICIONES ORGÁNICAS.

ÓRGANOS DE CONTROL.

Artículo 20.- AUTORIDADES DE APLICACIÓN.

Serán autoridades de aplicación, en el ámbito de su competencia:

BANCO CENTRAL DEL PARAGUAY. El Banco Central del Paraguay, a través de la Superintendencia de Bancos; tendrá las siguientes atribuciones y funciones:

Registrar a las Sociedades de Información Crediticia.

Reglamentar, interpretar y ejecutar la presente ley, en cuanto atañe a información crediticia, así como aprobar el protocolo de actuación de los Burós de Crédito.

Supervisar los mecanismos de guarda y utilización de los datos de información crediticia por parte de los Burós de Crédito y entidades reguladas por el Banco Central del Paraguay.

Sancionar a los Burós de Crédito.

La Central de Información de la Superintendencia de Bancos del Banco Central del Paraguay es regida por la legislación y su reglamentación específica.

SECRETARÍA DE DEFENSA DEL CONSUMIDOR Y EL USUARIO. En lo que atañe a la presente Ley:

Velar por el cumplimiento de las disposiciones de la presente Ley, y demás normas que rijan y tengan relación en materia de protección al consumidor y el usuario.

Difundir los derechos y deberes como también realizar acciones de información y educación al consumidor.

Promover la formalización del mercado, evitando la desprotección del titular de los datos.

Formular, realizar y fomentar programas de educación e información al consumidor, a través de medios masivos de comunicación, y de otros mecanismos disponibles.

Recibir y dar curso a las inquietudes, reclamos y denuncias de los consumidores, para canalizarlas a través del Banco Central del Paraguay.

Disponer la realización de inspecciones y pericias vinculadas con la aplicación de esta ley.

Solicitar informes y opiniones a entidades públicas y privadas con relación a las normas de protección del consumidor y el usuario.

Mantener un Registro Nacional de Denuncias, Inspecciones y de Infractores, a los efectos estadísticos y para detectar posibles casos de reincidencia por parte de los proveedores, en coordinación con el Banco Central del Paraguay.

Promover el trabajo conjunto con las Autoridades de Aplicación a nivel local en materia de protección al consumidor.

Recopilar, elaborar, procesar, divulgar y publicar información para facilitar al consumidor un mejor conocimiento de las características de la comercialización de bienes o servicios que se ofrezcan en el mercado.

Realizar y promover investigaciones en el área de consumo.

Solicitar, a través de la justicia, el auxilio de la fuerza pública, la intervención del Ministerio Público o cuantas diligencias fueran necesarias para el cumplimiento de sus funciones.

Las demás atribuciones que compete a la Secretaría de Defensa del Consumidor y el Usuario (SEDECO) por su ley orgánica y que aplicarían al presente ámbito.

En cuanto sea pertinente, ambas autoridades deberán coordinar esfuerzos para el cumplimiento de los postulados de la presente Ley.

CAPÍTULO IV. INFRACCIONES Y SANCIONES.

Artículo 21.- INFRACCIONES.

El Banco Central del Paraguay y la Secretaría de Defensa del Consumidor y el Usuario serán competentes, cada uno dentro de su ámbito de competencia, para sancionar las infracciones administrativas a la presente Ley y sus reglamentaciones.

Serán consideradas infracciones las siguientes:

El ejercicio de actividades establecidas en la presente Ley, sin la autorización previa del Banco Central del Paraguay.

El ejercicio de actividades no contenidas en la autorización para operar o en los estatutos sociales.

Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente Ley.

Omitir información obligatoria o suministrar información incompleta o falsa a la Central de Información de la Superintendencia de Bancos del Banco Central del Paraguay.

Omitir información obligatoria o suministrar información total o parcialmente falsa al Banco Central del Paraguay.

La excusa, negativa o resistencia a la actuación, y a las instrucciones o requerimientos de obligada observancia de la Superintendencia de Bancos, de los supervisores o inspectores, o la falta de provisión de la documentación solicitada por estos en forma expresa y fehaciente.

Incumplir las limitaciones o prohibiciones temporales impuestas a la entidad.

El incumplimiento de las medidas correctivas, obligaciones legales o reglamentarias exigidas por la Superintendencia de Bancos o el Directorio del Banco Central del Paraguay.

Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.

El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.

La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.

ñ. No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.

o. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a la legislación vigente o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.

Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta Ley. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente Ley.

Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta Ley.

Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

La vulneración del deber de confidencialidad establecido en esta Ley.

La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en esta Ley.

Artículo 22.-

Son responsables de las faltas tipificadas en la presente Ley y su reglamentación, tanto la persona física como la persona jurídica que cometió la falta, como todos los miembros de los órganos de administración de la entidad en cuestión y quienes ejerzan o realicen funciones asimilables a dichos cargos, salvo que:

No hayan tenido conocimiento del hecho u omisión que se les impute, ni directa ni indirectamente; así como que no pudieron llegar a tener indicios o información del acto u omisión que suponga el incumplimiento de normas de obligada observancia; o,

Que, habiendo tenido conocimiento de la supuesta falta, se hayan opuesto por escrito a la actuación u omisión.

Artículo 23.- SANCIONES.

La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones:

Apercibimiento.

Multa de hasta 15.000 (quince mil) Jornales Mínimos vigentes al momento de la imposición de la sanción.

En caso de reincidencia de una misma infracción, la multa será el doble de la multa inicial aplicada, la que podrá elevarse hasta 50.000 (cincuenta mil) Jornales Mínimos vigentes al momento de la imposición de la sanción para la persona física o jurídica que registre una facturación anual superior a G. 6.000.000.000 (Guaraníes seis mil millones).

Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse.

Inhabilitación para desempeñar un empleo, cargo o comisión dentro del sistema financiero, crediticio y en sociedades de información de datos personales, por un período de 6 (seis) meses hasta 5 (cinco) años.

Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control.

Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Las sanciones administrativas son independientes de las medidas correctivas o cautelares que dicten las autoridades de aplicación para salvaguardar el interés público protegido por la presente Ley y la sana gestión de las sociedades dedicadas al manejo de informaciones personales y crediticias.

Artículo 24.- PRESCRIPCIÓN.

Las infracciones a la presente Ley prescriben a los 5 (cinco) años de la fecha en que se cometieron. En el caso de consistir la falta en una actividad continuada, la fecha inicial del cómputo del plazo de prescripción será la de la última actuación.

La prescripción se interrumpe, además de las causas previstas en el Código Civil, por el inicio del sumario administrativo.

Artículo 25.- GRADACIÓN DE LAS SANCIONES.

Las sanciones a ser impuestas se determinarán según los siguientes criterios:

Naturaleza de la falta.

Gravedad del peligro o perjuicio causado.

Beneficio o ganancia, obtenidos como consecuencia de la falta.

El reconocimiento oportuno de los hechos que hayan configurado la falta.

Subsanación de la falta por iniciativa propia.

Conducta anterior de la entidad o del infractor, considerando las sanciones que le hubieran sido impuestos durante los últimos 5 (cinco) años. Al efecto, las autoridades competentes establecerán el registro público de sanciones.

Las autoridades competentes podrán establecer descuentos o reducir las multas en función de parámetros generales que se determinen a través de reglamentos dictados al efecto.

Artículo 26.- PROCEDIMIENTO SUMARIAL.

Para todo lo relativo a la investigación, trámite del sumario administrativo, medidas, recursos y atribuciones de las autoridades de aplicación de la presente Ley, en materia de infracciones a las disposiciones previstas en la presente Ley y su reglamentación, serán aplicables las disposiciones legales y reglamentarias que las respectivas instituciones tengan establecidos o dicten al efecto.

Artículo 27.- RECURSOS CONTRA LAS RESOLUCIONES ADMINISTRATIVAS.

Contra las resoluciones y sanciones recaídas se podrá interponer la acción contencioso-administrativa.

La interposición de la acción contencioso-administrativa no tendrá efectos suspensivos, salvo disposición expresa de la autoridad recurrida o del Tribunal competente y bajo caución suficiente de los interesados, o cuando la resolución apelada imponga multas.

Artículo 28.-

El titular de los datos personales tiene derecho a un procedimiento administrativo rápido y sencillo en los casos que representen una violación a los derechos garantizados en la presente Ley y la Constitución Nacional, sin perjuicio a los reclamos judiciales específicos que pudieran surgir.

CAPÍTULO V. DISPOSICIONES TRANSITORIAS Y FINALES.

Artículo 29.- DISPOSICIONES TRANSITORIAS.

Todo ente público y privado, responsable o encargado de los servicios de información crediticia y los de información de datos personales creados con anterioridad a la vigencia de la presente Ley, deberán ajustar sus estatutos sociales, su organización y funcionamiento a lo previsto en esta Ley, en el plazo de 24 (veinte y cuatro) meses, contados a partir de su publicación.

Artículo 30.- DEROGACIONES.

Queda derogada la Ley n° 1682/2001 “QUE REGLAMENTA LA INFORMACIÓN DE CARÁCTER PRIVADO” y sus respectivas Leyes modificatorias.

Artículo 31.-

Comuníquese al Poder Ejecutivo.

Aprobado el Proyecto de Ley por la Honorable Cámara de Senadores, a los veinticuatro días del mes de octubre del año dos mil diecinueve, quedando sancionado el mismo por la Honorable Cámara de Diputados, a los veintiocho días del mes de abril del año dos mil veinte, de conformidad con lo dispuesto en el Artículo 204 de la Constitución Nacional.

Objetado Parcialmente por Decreto del Poder Ejecutivo nº 3652, de fecha 1 de junio de 2020.

Rechazada la Objeción Parcial por la Honorable Cámara de Senadores en fecha 23 de julio de 2020 y por la Honorable Cámara de Diputados en fecha 23 de setiembre de 2020, de conformidad con lo establecido en el Artículo 208 de la Constitución Nacional.

01Ene/15

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos.

Recientemente se ha publicado en la página Web de la AEPD una resolución cuanto menos curiosa, que pone de manifiesto la necesidad de fundamentar motivadamente los hechos y motivos por las que una persona considera que una información publicada en Internet atenta contra su derecho a la dignidad y protección de datos. La resolución en cuestión es la R/01545/2011.

La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores.

La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en América, y por lo tanto allí no se aplica la legislación Española.

Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

  • Que exista un motivo legítimo y fundado.
  • Que dicho motivo se refiera a su concreta situación personal.
  • Que el motivo alegado justifique el derecho de oposición solicitado.

En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. «Toma ya», eso se llama tirar la pelota en el tejado de otro.

En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que «en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos». Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos TD/266/2.007 que indica » que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet». En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal). A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

 

01Sep/02

Definiciones y exclusiones

Definiciones y exclusiones

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

La Ley se aplica tanto a ficheros públicos como a privados.

Las excepciones a la Ley son la siguientes:

a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos

Hemos dividido en 3 los requerimientos que la legislación actual requiere de su cumplimiento a las empresas:

1.- Inscripción en la Agencia de Protección de Datos de todos los ficheros de carácter personal existentes

2.- Establecimiento de una política de protección a los ficheros previamente inscritos según el nivel requerido en el Reglamento.

3.- Establecimiento de una política de Protección de Datos, según la Ley Orgánica de Protección de Datos.

El punto primero es básico. De hecho, no tiene mucho sentido establecer las Medidas de Seguridad que pide el Reglamento si no hemos inscrito previamente nuestros ficheros en la Agencia. Por tanto, la primera tarea es proceder a dicha inscripción, y para ellos hemos elaborado un apartado donde se explicará este punto ampliamente.

Una vez inscritos, debemos de establecer las Medidas de Seguridad que establece el Reglamento. Para ello, la identificación del nivel de seguridad exigido es determinante, ya que dependiendo de uno o de otro, las medidas son diferentes, aunque siempre acumulativas unas de otras. Los ficheros de nivel básico contienen datos que inciden poco en la esfera del individuo: nombre, apellidos, dirección, número de teléfono o dirección de correo electrónico. Los datos de nivel medio son el siguiente escalón: datos de hacienda pública o infracciones administrativas o penales

Es difícil que usted tenga datos de nivel medio, por cuanto es la Administración la principal receptora de los mismos. Los de nivel alto son los datos para los cuales el legislador ha querido un nivel mayor de protección, no en vano inciden sobre la ideología, carácter o estado de salud del individuo, y para ellos se ha querido un nivel de seguridad bastante amplio. Y la posibilidad de que usted tenga datos de este nivel no es en absoluto desdeñable. Y si no, preste atención al siguiente párrafo.

Creemos que son necesarias varias apreciaciones llegados este punto. La primera, que sólo deben preocuparnos datos «personales», esto es, todos aquellos datos de empresas -facturas, clientes…- permanecen, a priori, fuera del radio de acción. Lo que ocurre en muchas ocasiones es que, al referirnos a empresas, muchas de ellas tienen un nombre societario que hacen referencia al administrador o dueño de la misma, lo que lo convierte directamente en un dato de carácter personal, y por ende, en destinatario de todas las medidas de protección. Además, si en un fichero de datos compuestos por nombres de empresas o datos de carácter abstracto o no personal, si en dicho fichero existe un solo dato de carácter personal de nivel alto -por ejemplo-, el fichero entero es de nivel alto, no importando que el resto de datos no sean de carácter personal o tengan un nivel inferior. Además, y aunque la Ley no hace distinción entre datos automatizados y datos no automatizados, a efectos del Reglamento nos interesan los datos automatizados, y sólo esos.

De otra forma, datos que se contengan en facturas o fichas, que no esten automatizados -esto es, en soporte digital-informático- no nos interesan. Aunque existe un plazo (hasta el 2007) por el cual, a partir de dicha fecha, también los datos no automatizados deberán de ser destinatarios de las medidas de seguridad que se regulen. Debe saber que cuando nos referimos a alguna medida que haga referencia a la Ley, no se establece diferencia alguna entre dato automatizado y dato no automatizado. Mientras que las medidas establecidas en el Reglamento, sólo atañen, de momento, a los datos automatizados.

Por último, la Agencia de Protección de Datos ha ido resolviendo algunas dudas al respecto tales como:

  • Respecto a los ficheros que contienen las nóminas de los empleados, si estos tienen una casilla que especifique un determinado grado de minusvalía, con objeto de la retención a cuenta en el IRPF correspondiente, se ha llegado a la conclusión de que, al ser datos que afectan a la salud, éstos deben ser considerados de nivel alto, estableciéndose las Medidas de Seguridad de nivel alto para todo el fichero.
  • Respecto a cualquier fichero que contenga datos que haga referencia a su afiliación sindical, se ha llegado a la conclusión igualmente que son datos que afectan a la ideología del individuo, por tanto de nivel alto.
  • Se ha establecido igualmente que aquellos ficheros de profesionales autónomos que contengan datos de carácter personal están igualmente dentro del radio de acción del Reglamento.