Tag Archives: Datos Personales

15Sep/15

El final del dato personal: mantener o destruir

El tratamiento de los datos personales tiene tres fases diferenciadas, la etapa de recabo de datos, la de tratamiento propiamente dicho y por ultimo la de cancelación o finalización del tratamiento. Esta última etapa tiene gran importancia ya que debemos conocer qué significa este final y como actuar con los datos.

Normalmente cuando hablamos de final de algo, lo primero que nos viene a la cabeza es que ya se puede eliminar o destruir, pero este no es necesariamente el caso cuando tratamos datos personales por lo que vamos a analizar de forma resumida como finaliza el tratamiento y las acciones a tomar.

El final del tratamiento del dato puede venir por dos causas, que desaparezca la finalidad por la que fueron recabados o por petición expresa del afectado en el ejercicio de sus derechos. De esta manera el artículo 4 donde se establece uno de los principios fundamentales de la LOPD dice que

los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

De la lectura del texto nos queda la idea de que el factor fundamental que tenemos que tener en cuenta es la finalidad para la que se recabo el dato, una vez desaparezca la finalidad, el dato también. En principio parece sencillo pero como todo tiene sus excepciones y términos que no son lo que en principio una persona que no conoce en profundidad la Ley podría interpretar.

Cuando se nos habla de cancelar un dato personal, no se debe entender con ello la propia destrucción, sino que es un término más amplio al que podemos atribuir varios conceptos. Por un lado se puede entender como un mantenimiento del dato pero ‘sin uso’ y por otro la propia eliminación o destrucción.

La legislación en protección de datos no es ajena a las obligaciones, necesidades y responsabilidades impuestas por el ordenamiento jurídico a las empresas o autónomos como responsables del tratamiento, es por ello que en respuesta a estas necesidades ya sean fiscales, laborales, administrativas o a la rama que correspondan, la legislación en protección de datos prevé la posibilidad de mantener datos cuya finalidad ya ha desaparecido o cuya cancelación ha sido solicitada por el afectado. Este caso podríamos definirlo como una cancelación ‘de uso’, es decir, se me permite mantener los datos durante el tiempo que la legislación correspondiente me obliga para atender los posibles requerimientos de información de la Administración, pero no me permite utilizarlos para nada más, se podría decir que están apartados de la actividad esperando a agotar el plazo al que están sometidos por otra ley, para posteriormente ser destruidos.

Es importante resaltar que esto no supone un cheque en blanco para mantener datos, se deberá estar a lo dispuesto, y por los plazos establecidos, en las leyes que sean de aplicación al caso.

Finalmente, y ahora sí, una vez se hayan agotado los plazos los datos deberán ser destruidos. Recordar que la destrucción debe realizarse siempre utilizando medios que garanticen que la información no puede volver a ser recuperada por ningún medio, es decir, se deben utilizar siempre destructoras de papel, formateo de equipos o soportes, empresas de destrucción certificada, etc.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio
Departamento Derecho TIC
www.audea.com

 

10Sep/15

Plataforma E-learning de Áudea

Os presentamos la nueva Plataforma E-learning de Áudea, creada a partir de dos sistemas de gestión de distribución libre MOODLE y SCORM, que también se conocen como LMS (Learning Management System).

La modalidad online nos ofrece una formación de alto nivel, accesible, cómoda, económica y flexible, y nos permite disponer al instante de todos los materiales necesarios para completar la formación.

La libertad de horarios que nos ofrece esta modalidad permite la deslocalización y además facilita la interacción tanto profesor-alumno como de los alumnos entre sí, permitiendo además la posibilidad de realizar simulaciones virtuales en entornos controlados y facilitar la posibilidad de mantener actualizados los contenidos.

Los cursos que disponemos actualmente son los siguientes:

  • Curso de Sensibilización LOPD
  • Curso de Sensibilización de Seguridad de la Información
  • Curso de Concienciación sobre el uso de Datos Personales
  • Curso de Experto en Protección de Datos
  • Curso de Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001

Damos la posibilidad de ver un curso demostración para que pueda navegar a través de nuestro entorno y conocer su funcionalidad. Solicite usuario y contraseña en info@audea.com

Accede a la plataforma y comienza a formarte con nosotros!

 

Áudea Seguridad de la Información
Departamento de Marketing
www.audea.com

01Ene/15

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros.

Las funciones de una correduría de seguros y reaseguros, y especialmente su papel de mediador entre el interesado y compañías aseguradoras, puede plantear ciertas dudas respecto si considerarlas como responsable o encargado de tratamiento, puesto que por un lado parecen ser responsables como las entidades que recaban los datos de los interesados y deciden sobre su finalidad y por el otro, se les encarga unos determinados servicios de mediación.

Las funciones y obligaciones de los corredores se limitarán en principio, a las de ofrecer información veraz y suficiente en la promoción, oferta y suscripción de las pólizas de seguro y en su actividad de asesoramiento. Es decir, sus obligaciones son, básicamente, de carácter informativo y asesor, no pudiendo imponer directa o indirectamente la celebración del contrato de seguro.

Para determinar la condición del corredor de seguros y reaseguros, la Ley 26/2006, de 17 julio de Mediación de seguros y reaseguros privados, en sus artículos 62 y 63 analiza esta figura jurídica desde el punto de vista de protección de datos de carácter personal.

En el artículo 62. 1. c. se especifica que “A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.”, que a su vez significa que las aseguradoras cesionarias y destinatarias de esta información, serían también responsables de los ficheros que recogiesen datos de los asegurados. En este sentido, también sería de aplicación el artículo 11. 2. c. de la LOPD que indica que “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros” no será preciso el previo consentimiento del interesado, aunque las corredurías, por la propia naturaleza de los servicios que prestan, cuentan desde el principio con el consentimiento de las personas que solicitan sus servicios a comunicar sus datos a las entidades aseguradoras.

¿Pero qué pasará cuando la relación contractual entre el asegurado y la aseguradora se extingue, podrá la correduría mantener la información relativa a los asegurados o negociar la contratación de pólizas con otras compañías?

La condición de responsable del tratamiento de la correduría implica que una vez extinguida esta relación, no procederá a la devolución de los datos, tal y como se obliga al encargado de tratamiento en los términos del artículo 12 de la LOPD, sino que debe proceder a su cancelación, como señala el artículo 4.5 de la LOPD “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.” Por lo que el corredor que haya dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar de su base de datos la información relativa al asegurado.

Respecto del consentimiento del interesado para tratar sus datos, el artículo 6.2 de la LOPD indica que “No será preciso el consentimiento… cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…” por lo que tratándose en este caso de una relación negocial hay que entender que el consentimiento del interesado está implícito en esta relación. No obstante, el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 lo especifica aún más apuntando que “Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3.

Por consiguiente, para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento inequívoco de los interesados. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos.

En definitiva, el corredor de seguros o reaseguros no podrá facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco.

Es mucho más evidente que tampoco puede, sin el consentimiento del interesado permitirse la libertad de contratarle una nueva póliza con otra aseguradora, aunque esto pudiera suponer un beneficio para el interesado. Para poder contratar una nueva póliza de seguro o cualquier otro producto de aseguramiento es imprescindible mandato expreso del interesado a la correduría de seguros.

En consecuencia si un corredor de seguros, una vez resuelto el contrato entre el asegurado y la compañía aseguradora, quisiera mantener los datos del asegurado para destinarlos a otra finalidad y, en particular, para utilizarlos en la celebración de un nuevo contrato con otra compañía aseguradora, debería primero informar al interesado sobre el producto de aseguramiento y luego recabar su consentimiento inequívoco.

Asimismo, ésta ha sido la postura adoptada por la Agencia Española de Protección de Datos en relación a tratamientos de datos personales realizados por las corredurías de seguros o reaseguros y que ha expresado tanto en sus informes jurídicos como en sus resoluciones sancionadoras.

01Ene/15

La protección de datos de carácter personal y su incidencia en la relación laboral

La protección de datos de carácter personal y su incidencia en la relación laboral

La implantación de las nuevas tecnologías de la información y de la comunicación en el ámbito del Derecho del Trabajo tiene diversas connotaciones e incidencias. El tratamiento de datos aparece tanto en aspectos de control de la actividad empresarial, así como en el proceso de selección e identificación de aspectos personales, como puede ser algunos relativos a la salud del trabajador. En la gestión de RRHH la utilización o tratamiento de datos es una realidad incuestionable, un aspecto más de la organización empresarial.

Concurren por tanto diversas perspectivas, siendo la primera la dificultad la de trasplantar el régimen jurídico propio del derecho de protección de datos a las peculiaridades de la relación laboral. La segunda, la dificultad de delimitar jurídicamente el ámbito del derecho fundamental a la protección de datos, frente a otro derecho reconocido también constitucionalmente dentro del ejercicio de las facultades y potestades empresariales, y por tanto las posibles colisiones que puede tener con los derechos fundamentales de los ciudadanos y por ende de los trabajadores dentro del seno de la empresa.

Download the PDF file .

Descargar

01Ene/14

Aplicación Práctica del Derecho de Acceso a los Datos Personales

Aplicación Práctica del Derecho de Acceso a los Datos Personales
(La Sentencia del TS de 26 de enero de 2010)

Dentro del abanico de los derechos de protección de datos, aparece concretamente el de acceso a los mismos, recogido en el artículo 15 de la LOPD y que nos viene a decir que el titular de los datos puede y debe ejercer su derecho de acceso ante el responsable del fichero. Puede conocer también si han sido actualizados o no o bien si se quiere rectificarlos, pero éstos ya son otros derechos contemplados en el articulado y que no son objeto ahora mismo de comentario.

La sentencia que estudiamos aquí es un recurso de casación que interpuso la representación procesal de la Universidad Nacional de Educación a Distancia (en adelante UNED) para desestimar la sentencia recurrida de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional cuya cuestión controvertida no es mas que el derecho de acceso a los datos personales que parece ser ha sido infringido por una de las partes.

Por tanto, conocemos que se trata de un recurso de casación interpuesto como bien se sabe ante el Tribunal Supremo, cuyas partes legitimadas son por un lado: la representación procesal de la UNED como recurrente y la parte recurrida, el Abogado del Estado.

En lo concerniente a la disputa interpretativa ,el origen de la controversia se encuentra en la reclamación que hizo en 2004 un particular (el solicitante) ante la Agencia Española de Protección de Datos (en adelante la AEPD) pidiendo una reclamación de responsabilidad patrimonial de la Administración por daños que se derivaban de la comunicación no consentida de datos personales a terceros y por otro lado la solicitud de acceso a los datos personales.

También se alega por parte del particular la elección de medios de acceso que según él es para el propio solicitante. Creo que ésta es la parte mas relevante de la sentencia pues nos preguntamos si es cierto que ha habido violación del artículo 15 de la LOPD en lo que a medios de acceso se refiere o si la parte recurrente en casación concede este derecho de acceso.

Precisamente situándonos desde la perspectiva de la UNED,son 3 los motivos que se presentan en el recurso:el primero de ellos,basándonos en el artículo 88.3 de la LJCA,por el que el recurrente creyó que la sentencia recurrida de la AN debió mencionar que en la web de la UNED se daba la posibilidad al alumnado de acceder a sus datos personales mediante una clave que la universidad da a acada uno de ellos.Como veremos posteriormente este motivo no es admitido por el alto tribunal.

El segundo de los motivos es en base al artículo 88.1 d de la LJCA por el que la recurrente considera que se trata de una reclamación de responsabilidad patrimonial de la Administración en consecuencia infracción del artículo 70 de la LRJ-PAC y no estamos ante una solicitud de acceso a los datos personales.

El tercero y último de los motivos de los que se compone este recurso de casación es al hilo también del mismo artículo 88.1 d de la LJCA por el que se considera infracción del artículo 15 de la LOPD, pues el solicitante no tiene facultad de elegir el medio de acceso a sus datos personales.

Entrando ya en el núcleo del comentario, vemos y analizamos cómo el Tribunal Supremo señala el motivo segundo como el mas importante, el primero es descartado por completo y no lo admite. La propia sentencia señala en su fundamento de derecho tercero:“el motivo primero no puede ser admitido ,pues está incorrectamente formulado. El apartado tercero del artículo 88 de la LJCA en que se basa, no configura uno de los tipos de motivos tasados en que puede fundarse el recurso de casación….”.También señala que:” es incorrecto que la recurrente aduzca como un motivo de casación autónomo la circunstancia de que la sentencia impugnada no haga referencia expresa a que todo alumno de la UNED tiene posibilidad de acceso permanente a sus datos personales por vía informática”.

         Todavía en este primer motivo ,a mi modo de ver, parece que la AEPD va a darle la razón a la recurrente pero termina diciendo que no se puede exonerar de responsabilidad a ésta debido a que no se le ha dado la posibilidad al solicitante de elegir por qué medios va a acceder a sus datos personales. Creo sin lugar a dudas que no existe infracción del derecho de acceso a los datos, pues es la UNED la que permite mediante las claves personales a las que he hecho mención anteriormente, el tener conocimiento de toda la información que sobre el alumno hay en la web de la universidad y que por supuesto como bien menciona la sentencia es de mala fé:“reprochar a otro no haber hecho algo que en realidad, ya ha hecho”. Parece ser que la UNED según la propia AEPD tenía que haberle dicho al solicitante qué medios quería para acceder a los datos.

       El segundo de los motivos es el que me parece mas importante, no solo por el hecho de que es admitido por el TS, sino porque aquí se presenta el debate de sí es posible en un solo escrito ,venir recogido dos o mas solicitudes diversas. Ciertamente, el alto tribunal considera que:“la recurrente no tiene razón en sostener que el escrito de x de 9 de Febrero de 2004 no era solicitud de acceso a sus datos personales, sino solo una reclamación de responsabilidad patrimonial de la Administración”.

       Estamos de acuerdo con la decisión que da el Tribunal Supremo  en lo atinente a que aun dando como válido la propia solicitud de acceso a los datos personales de por sí resultaba justificada, pues ya se daba la posibilidad al alumno de acceder a éstos. Es mas, es la propia AEPD en su escrito de 2004 la que no explica concretamente que medio de acceso quería el solicitante. Basta tan solo con la posibilidad real de acceso como para descargar de responsabilidad a la propia UNED. El fundamento cuarto así lo aclara:“no se trata solo de que el solicitante dispusiera de la posibilidad permanente de acceso a sus datos personales por vía informática, sino que en su escrito de 9 de Febrero de 2004 no especificó mediante qué concreto medio de acceso quería que su derecho fuese satisfecho; y en estas circunstancias, afirmar que se le denegó el acceso en el plazo legalmente previsto resulta sencillamente una abusiva deformación de la realidad”.

El tercer motivo del recurso de casación no se analiza ;se deriva de lo anteriormente comentado: que el solicitante disponía de los medios de acceso.

Finalmente, el fallo de la sentencia es la anulación de la resolución de la AEPD y también de la sentencia de la AN, sin imposición de costas.

     Pedro Jesús Macías Torres

                            Sevilla-Febrero 2.010.

01Ene/14

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Los requerimientos de copias de seguridad que exige la normativa sobre Protección de Datos se encuentran contenidos en los siguientes artículos del Reglamento:

“Nivel básico”

“Artículo 14. Copias de respaldo y recuperación.

1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos”

“Nivel alto”

Artículo 24. Registro de accesos.

1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Artículo 25. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.”

En la práctica, lo que el reglamento exige es una clara política de copias de seguridad para el entorno profesional, que imposibilite un accidente en relación a la posible desaparición de ficheros que contengan datos personales. Para el nivel básico de datos, se establece que “deberán realizarse copias de respaldo al menos semanalmente” de los datos, salvo que “no se haya producido ninguna modificación” de los mismos. Esto implica que no basta con tener los datos en soportes magnéticos, como el disco duro del ordenador, sino que hace necesario el establecimiento de soluciones hardware o software que hagan que dichos datos se encuentren en otro lugar distinto al principal (lugar no en el sentido geográfico de la palabra: sino que exista, simplemente, otra copia de los datos que no solo sea, por ejemplo, el ordenador de la oficina). Y, como ya hemos visto, dicha copia debe de hacerse como mínimo semanalmente. Para el nivel alto de datos, se establece un periodo mínimo de conservación de los registros de acceso a datos de dos años, además de la obligación para el Responsable de Seguridad de la revisión de dichos accesos al menos una vez al mes y que las copias de seguridad de los datos han de descansar en un lugar -ahora sí- geográfico distinto al principal. Para la correcta conservación de los registros de accesos, se requerirá, igualmente, unas adecuadas medidas de copias de seguridad donde éstas se puedan conservar. En el documento de seguridad correspondiente se deberán describir los procedimientos de copias de seguridad que se establezcan. Recomendamos que sea el administrador o el Responsable de Seguridad -si lo hubiere, sino, obligatoriamente, el Responsable del Fichero- la persona que describa dichos procedimientos. A continuación, detallamos algunas soluciones informáticas a nivel de hardware que nos ofrece el mercado. Para implementar esta medida, es interesante la consulta al profesional de su negocio que tenga un perfil de conocimientos técnicos-informáticos mas altos (administrador de la red, por citar un ejemplo).

Sistemas de copias de seguridad

La publicación “Pc-actual”, realizó hace unos meses un estudio sobre los distintos medios hardware para copias de seguridad existentes. Destacaba lo siguiente:

Unidades CD-RW

Son la mejor opción a la hora de copiar archivos personales y en aquellos entornos profesionales donde se necesite grabar poca información y con una frecuencia no demasiado alta. Las principales ventajas con las que cuentan es que se trata de soluciones económicas, con un soporte de grabación igualmente barato, no requieren unos conocimientos informáticos elevados para su utilización y pueden ser recuperadas desde casi cualquier pc. Por el contrario, lo que puede echar para atrás es la limitación en su capacidad (650 o 700 MB), una velocidad de grabación inferior a otras unidades y una menor flexibilidad, sobre todo en el caso de que nos decidamos por discos cd-r, que sólo podremos grabar una vez. Con tales características, pensamos que es la mejor opción por lo económico tanto del soporte como de los consumibles. Además, han aparecido nuevos cds con hasta 900 MB de capacidad.

Unidades ZIP

Su baza es que resultan cómodos, ya que se manejan de la misma forma que un disco duro, y su velocidad es bastante adecuada. No obstante, debido a los años que ya llevan en el mercado, se las considera algo desfasadas. Su última revisión permitió que alcanzaran los 250 MB de capacidad máxima, una cifra que puede ser insuficiente para los usuarios más exigentes. Otro punto en contra hay que buscarlo en el precio de sus consumibles, es decir, los discos de tecnología magnética sobre los que se almacenan los datos. Uno viene a costar alrededor de 16 euros, lo que arroja un precio por megabyte muy superior al que nos puede dar un disco cd-rw, que ronda los 3 euros con una capacidad de 700 MB.

Unidades Magnético Ópticas

Estamos ante la alternativa preferida por aquellos profesionales que deban hacer copias de seguridad de su estación de trabajo, ya que su capacidad de almacenamiento es muy elevada y su fiabilidad y velocidad de lectura son excelentes. En un disco de tamaño similar a los disquetes de 3,5 pulgadas pueden guardar hasta 2.3 GB. Igualmente, hay que valorar que, al tratarse de un sistema magneto-óptico, el soporte no está expuesto al desgaste propio del uso continuado, al margen que su coste por megabyte se reduce al rondar su precio los 15 euros por disco. No obstante, la desventaja está en su precio, ya que, dependiendo de si se trata de una unidad interna, externa, Usb, SCSI, Ide o Firewire, deberemos desembolsarnos entre 240 y 480 euros

Otras Alternaticas

Aunque son los soportes de almacenamientos más populares, no son, ni mucho menos, los únicos. El grupo se completaría con las unidades de cinta desarrolladas para grandes entornos profesionales, pero también con nuevos productos como el Peerless, el Jaz de Iomega, o el LS-120. todos ellos atienden a los distintos perfiles de usuario a los que se dirigen, ya sea por precio, por capacidad o por prestaciones, y comparten un mismo problema: su escasa estandarización o la falta de una gran base instalada. Así, nos resultarán realmente útiles para nuestro propio uso, pero difíciles de compartir con otra persona, además de que sus consumi9bles no son sencillos de conseguir en el mercado. Como alternativa a estos sistemas, últimamente ha aparecido una nueva unidad de almacenamiento removible: las memorias flash usb. Estas memorias con forma de llavero, cuentan con capacidades de entre 16 y 512 MB, y son compatibles con plataformas windows y mac.

En cuanto a soluciones software, recomendamos la visita a http://www.kriptopolis.com, donde en la sección “descargas” podremos encontrar dichas soluciones para las copias de seguridad de los ficheros que contengan datos personales. Y es que si no tenemos buenos programas que acompañen a las soluciones hardware antes mentadas, tendremos una solución que no podremos utilizar debidamente.

 

01Ene/14

Cargos de los ficheros de datos personales

Cargos de los ficheros de datos personales

Hasta 3 tipos de cargos relacionados con los ficheros de datos personales se pueden distinguir en la Ley y el Reglamento:

Responsable del fichero

En todos los niveles de seguridad. El principal encargado, sujeto a la normativa sancionadora. Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento. Autoriza la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero. Elaborará el Documento de Seguridad. Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento. Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información. Establecerá los procedimientos de identificación y autenticación para dicho acceso. Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal. Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos. Designará uno o varios responsables de seguridad. Adoptará las medidas correctas necesarias en función de lo que se diga en el informe de auditoría. Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado. Autorizará por escrito la ejecución de los procedimientos de recuperación.

Encargado del Tratamiento

Se conecta con la figura del tercero que accede a los datos. Igualmente, sujeto a la normativa sancionadora. En todos los niveles de seguridad. Debe cumplir con las Medidas de Seguridad pertinentes, a tenor de tipo de dato al que acceda.

Responsable de Seguridad

Coordina todas las acciones de seguridad. Nombrado por el Responsable de Seguridad, pueden ser la misma persona y sólo es obligatorio para los niveles medio y alto. No está sujeto a la normativa de responsabilidad sancionadora de la Ley. Pueden ser uno o varios. Coordinará y controlará las medidas definidas en el Documento de Seguridad. No tiene delegada la responsabilidad que le corresponde al responsable del fichero. Analizará los informes de auditoría. Elevará las conclusiones del análisis al responsable del fichero. Controlará los mecanismos que permiten el registro de accesos. Revisará periódicamente la información de control registrada

Cada uno de ellos deberá estar perfectamente identificado en los documentos de seguridad. Todos están obligados por Ley (artículo 10) al secreto profesional de los datos. La vulneración del deber de secreto constituye infracción leve, grave o muy grave a tenor de la naturaleza de los datos almacenados que, en función de su mayor o menor relación con las exigencias de privacidad, requieren Medidas de Seguridad distintas.

17Abr/13

Iniciativa 01367-2013-PLO-SE Ley Orgánica sobre Protección de Datos de Carácter Personal

 

Proyecto de Ley Orgánica sobre Protección de Datos de Carácter Personal

Exposición de Motivos

La amplia gama de derechos protegidos que contempla nuestra Constitución, la convierte en uno de los instrumentos más garantistas que ha regido la nación dominicana. Ella comprende inclusive aquellos derechos fundamentales de tercera generación que hoy día significan una protección a los derechos colectivos que antes no existía.

Dentro del ámbito de esta protección de derechos individuales se encuentra el mandato constitucional de legislar sobre el derecho a la intimidad y al honor personal contenido en el artículo 44. Pero este derecho posee la peculiaridad de desdoblarse en varios ámbitos de aplicación que ameritan por igual una protección efectiva.

Uno de esos ámbitos lo es la protección contenida en el numeral 2 de tan importante artículo y que refiere al derecho de toda persona de acceder a la información y datos que de ella o sus bienes existan en cualquier registro, sea oficial o privado; conocer el destino y uso que se haga de ellos y la posibilidad de exigir judicialmente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten sus

derechos. En definitiva, se trata sobre la protección de datos de carácter personal.

La protección de datos de carácter personal surge de la necesidad de adecuar los marcos normativos a la realidad de la sociedad actual: la sociedad de la información. Así lo establece la jurista dominicana, Rosalía Sosa: “el derecho a la protección de los datos personales de las personas se contrapone a la erosión y degradación que afectan a los derechos fundamentales ante determinados usos de la tecnología.”

Es por ello que la propia Constitución establece cuales son los principios que deben regir en cuanto al manejo de este tipo de datos, a saber: calidad, licitud, lealtad, seguridad y finalidad. Todo ello para proteger este ámbito de la intimidad que hoy día se encuentra vulnerable ante los masivos flujos de información que están al alcance de todos.

El principio de calidad implica que los datos de carácter personal que sean almacenados deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; la licitud establece que los datos no pueden tener finalidades contrarias a las leyes y/o al orden público; por su parte, el principio de lealtad impone la prohibición de recoger los datos por medios fraudulentos o desleales; el principio de seguridad impone a los responsables de almacenar este tipo de datos, adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado; por último, el principio de finalidad implica que el tratamiento de este tipo de datos sólo se haga cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

Respondiendo a esta realidad y al mandato Constitucional hemos desarrollado la presente propuesta de Ley Orgánica sobre Protección de Datos de Carácter Personal.

Este proyecto ha sido elaborado siguiendo, en primer término, los parámetros constitucionales, y en segundo lugar, los lineamientos de otras legislaciones similares que colocarán a la República Dominicana a la par con países como Chile y España que ya cuentan con este tipo de normativa de avanzada.

De esta forma, el objeto del proyecto es garantizar la protección de los datos de carácter personal asentados en archivos, bancos de datos o cualquier otro medio de almacenamiento que sean objeto de tratamiento por parte de terceros, sean estos archivos de carácter público o privado, para que no sean objeto de un uso indiscriminado ni contrario a los principios establecidos por la Constitución dominicana.

De igual modo, se establece la tutela de los derechos de las personas titulares de la información y los medios con que cuentan para reclamar su respeto, tomando en cuenta el procedimiento de hábeas data ya establecido en la Ley Orgánica 137-11 del Tribunal Constitucional y de los Procedimientos Constitucionales.

Se crea, igualmente, la Agencia Dominicana de Protección de Datos con la finalidad de velar por el cumplimiento de esta normativa y regular y vigilar el manejo de datos de carácter personal dentro del ámbito nacional.

También se establece un sistema de sanciones administrativas para aquellas personas o entidades que incurran en infracciones y vulneren los derechos de los titulares de la información.

El proyecto como ya hemos dicho representa un avance hacia el Estado Social y Democrático de Derecho que establece nuestra Constitución en donde la protección del Estado debe llegar a todos los ámbitos de la vida de los ciudadanos, no en pro de un sistema intervencionista sino en pro de un sistema garantista.

 

Félix Bautista

, Senador Provincia San Juan

LEY ORGANICA SOBRE PROTECCION DE DATOS DE CARÁCTER PERSONAL

 

EL CONGRESO NACIONAL

 

En Nombre de la República

 

CONSIDERANDO PRIMERO: Que el derecho a la intimidad y al honor personal es un derecho fundamental establecido en la Constitución

de la República y reconocido por todas las convenciones y tratados internacionales sobre derechos humanos;

 

CONSIDERANDO SEGUNDO: Que la intimidad comprende el ámbito privado de la vida de una persona vedado para todas las demás que le rodean así como la información, datos y situaciones que en ese ámbito se genere, la cual

debe gozar igualmente de la protección adecuada ante a la injerencia de terceros no autorizados;

 

CONSIDERANDO TERCERO: Que toda persona tiene, el derecho de decidir sobre la utilización de los datos que sobre ella y sus bienes existan pudiendo acceder a los mismos de manera libre y demandar la actualización, rectificación o destrucción de tales datos cuando no sean acordes a la realidad o resultes lesivos para sus derechos;

 

CONSIDERANDO CUARTO: Que la Constitución de la República establece en su artículo 44.2 establece que “toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos”;

 

VISTOS:

La Constitución de la República;

La Declaración Universal de Derechos Humanos, del 10 de diciembre del año 1948;

El Pacto Internacional de Derechos Civiles y Políticos, del 23 de marzo del año 1976, ratificado por República Dominicana mediante Resolución 684, de fecha 27 de octubre de 1977;

La Convención Interamericana de Derechos Humanos, del 22 de noviembre del año 1969, ratificada por República Dominicana mediante Resolución nº 739 del 25 de diciembre del año 1977;

Ley 8-92 que pone bajo la dependencia de la Junta Central Electoral, la Dirección General de la Cédula de Identificación Personal y las Oficinas y Agencias Expedidoras de Cédulas, la Oficina Central del Estado Civil y las Oficialías del Estado Civil, del 18 de marzo del año 1992;

Ley 275-97 Electoral del 21 de diciembre del año 1997;

Ley 19-01 que crea el defensor del Pueblo, del 1 de febrero del año 2001;

Ley 42-01 General de Salud, del 8 de marzo del año 2001;

Ley 76-02 que estable el Código Procesal Penal de la República Dominicana, del 19 de julio del año 2002;

Ley 136-03 que crea el Código para el Sistema de Protección y los derechos Fundamentales de Niños, Niñas y Adolescentes, del 7 de agosto del año 2003;

Ley 200-04 General de Libre Acceso a la Información Pública, del 28 de julio del año 2004;

Ley 288-05 que crea las Sociedades de Intermediación Crediticia y de Protección al Titular de la Información, del 18 de agosto del año 2005;

Ley 176-07 del Distrito Nacional y los Municipios, del 12 de julio del año 2007;

Ley 481-08 General de Archivos de la República Dominicana, del 25 de noviembre del año 2008;

Ley 137-11 Orgánica del Tribunal Constitucional y los Procedimientos Constitucionales, del 9 de marzo del año 2011.

 

Ha dado la siguiente ley:

 

CAPÍTULO I.- DISPOSICIONES INICIALES

 

Sección I.- Del Objeto, Alcance, Ámbito de Aplicación, Restricciones y Principios

 

Artículo 1. Objeto.

La presente ley tiene por objeto garantizar y proteger el tratamiento y a toda modalidad de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos registrados en cualquier soporte conocido o por conocer sean de titularidad privada o pública.

 

Artículo 2. Alcance.

La presente ley es de aplicación a los datos de carácter personal registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos en los ámbitos público y privado dentro del territorio dominicano.

 

Artículo 3. Ámbito de Aplicación.

Esta ley rige todo tratamiento de datos de carácter personal:

1) Cuando el tratamiento sea efectuado en territorio dominicano en el marco de las actividades de un establecimiento del responsable del tratamiento.

2) Cuando al responsable del tratamiento no establecido en territorio dominicano, le sea de aplicación la legislación dominicana en aplicación de normas de Derecho Internacional Público.

3) Cuando el responsable del tratamiento de datos o el usuario de los mismos no esté establecido en territorio dominicano y utilice en el tratamiento de datos por medios situados en territorio dominicano.

4) Los archivos de datos personales regulados por la legislación de régimen electoral.

5) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación dominicana sobre la función estadística pública.

6) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación del personal de las Fuerzas Armadas.

7) Los derivados del Registro Civil y del Sistema de Información Criminal de la Procuraduría General de la república.

8) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, asimismo como las empresas de vigilancia y seguridad privada de conformidad con la legislación sobre la materia. No obstante el responsable de los archivos de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.

 

Artículo 4. Restricciones.

El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:

1) A los archivos de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

2) A los archivos de datos personales sometidos a la normativa sobre protección de materias clasificadas.

3) A los archivos de datos personales establecidos para la investigación de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del archivo de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.

4) A los archivos de datos personales referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los archivos de datos personales o tratamientos que contengan datos de éste con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

5) A los tratamientos de datos referidos a personas jurídicas, ni a los archivos de datos personales que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

 

Artículo 5. Principios.

Los principios que fundamentan la presente ley son:

1) Licitud de los Archivos de Datos Personales. Los archivos de datos personales no pueden tener finalidades contrarias a las leyes y/o al orden público, siendo debidamente registrados y apegados a los principios establecidos en esta ley y los reglamentos que se dicten en desarrollo de la misma.

2) Calidad de los Datos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado y sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

3) Derecho de Información. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, de la existencia y finalidad del

archivo de datos personales; de la finalidad de la recogida de los datos y del tratamiento, así como de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos, de la negativa a suministrarlos o de la inexactitud de los mismos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

4) Consentimiento del Afectado. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, informado e inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento deberá constar, ya por escrito, ya por otro medio que permita evidenciar el mismo, de acuerdo a las circunstancias y el canal de comunicación y podrá ser revocado cuando exista causa justificada para ello.

5) Seguridad de los Datos. El responsable del archivo de datos personales, y en su caso, el encargado del tratamiento, deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado.

6) Deber de Secreto. El responsable del archivo de datos personales y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo de datos personales o, en su caso, con el responsable del mismo, salvo que sea relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa

nacional o la salud pública.

7) Lealtad. Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos.

8) Finalidad de los datos. Los datos sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

 

Sección II

.- Definiciones

 

Artículo 6. Definiciones.

A los efectos de la presente ley y su aplicación, se asumen los siguientes conceptos:

1) Afectado o Interesado: Persona física titular de los datos que sean objeto del tratamiento, con independencia de su domicilio legal o país de residencia.

2) Archivo de Datos Personales: Conjunto organizado de datos de carácter personal, que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los mismos podrán ser de titularidad privada o de titularidad pública.

3) Archivos de Datos de Titularidad Privada: Son aquellos archivos de datos personales de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los archivos de los que sean responsables las corporaciones de derecho público, en cuanto dichos archivos no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

4) Archivos de Datos de Titularidad Pública: Son aquellos archivos de datos personales de los que sean responsables los órganos de la administración pública, así como las entidades u organismos vinculados o dependientes de la misma y las entidades autónomas y descentralizadas del Estado siempre que su finalidad sea el ejercicio de potestades de derecho público.

5) Cancelación: Procedimiento en virtud del cual el responsable del tratamiento cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de la administración pública, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

6) Cesión o Comunicación de Datos: Tratamiento de datos que supone su revelación a una persona distinta del afectado o interesado.

7) Consentimiento del Interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.

8) Datos Especialmente Protegidos: Datos de carácter personal que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

9) Datos de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

10) Datos de Carácter Personal Relacionados con la Salud: Cualquier información concerniente a la salud pasada, presente y futura, física o mental, de un individuo.

11) Destinatario o Cesionario: Persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

12) Encargado del Tratamiento: La persona física o jurídica, privada o pública, que realice el tratamiento de los datos personales por cuenta del responsable del tratamiento.

13) Exportador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo situado en territorio dominicano que realice, conforme a lo dispuesto en esta Ley, una transferencia de datos de carácter personal a un país tercero.

14) Fuentes Accesibles al Público: Aquellos archivos de datos personales cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

15) Importador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

16) Persona Identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

17) Procedimiento de Disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

18) Responsable del Tratamiento: Toda persona, privada o pública, titular del archivo de datos personales que decide la finalidad, el contenido, los medios del tratamiento y el uso de la información obtenida con el tratamiento de los datos personales.

19) Tercero: Persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

20) Transferencia Internacional de Datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la República Dominicana, sin importar el soporte, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del archivo de datos personales establecido en territorio dominicano.

21) Tratamiento de Datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, extracción, grabación, ordenación, conservación, elaboración, almacenamiento, modificación, vinculación, evaluación, consulta, utilización, bloqueo, cancelación o supresión y, en general el procesamiento de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

22) Salario Mínimo: será el salario mínimo nacional más bajo percibido por los trabajadores del sector privado no sectorizado de empresas industriales, comerciales y de servicios, fijado por el Comité Nacional de Salarios del Ministerio de Estado de Trabajo de la República Dominicana.

 

CAPÍTULO II

.- DISPOSICIONES GENERALES

 

Sección I.- De los Derechos de las Personas y su Ejercicio

 

Artículo 7. Impugnación de Valoraciones.

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

Párrafo I. En caso de que suceda, el afectado tendrá derecho a obtener información del responsable del archivo de datos personales sobre el programa y los criterios de valoración utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

Párrafo II. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

 

Artículo 8. Nulidad.

Los actos que resulten contrarios a lo dispuesto en el artículo precedente serán nulos de pleno derecho.

 

Artículo 9. Derecho de consulta al Registro General de Protección de Datos.

Cualquier persona puede conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal sobre su persona, sus finalidades y la identidad del responsable del tratamiento. El Registro General es de consulta pública y gratuita.

 

Artículo 10. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Los derechos de acceso, rectificación, cancelación y oposición son personales y son ejercidos por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.

Párrafo I. Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, pueden ser ejercidos por su representante legal, en cuyo caso es necesario que acredite tal condición mediante la aportación de copia de su Cedula de Identidad y Electoral o pasaporte en caso de extranjeros, y la representación conferida por aquél.

Párrafo II. Cuando el responsable del archivo de datos personales sea un órgano de la administración pública o de la administración de justicia, puedeacreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.

 

Artículo 11. Independencia de los derechos de acceso, rectificación, cancelación y oposición.

Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes. No puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

 

Articulo 12. Derecho de Acceso.

El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal, obrantes tanto en los archivos de datos personales públicos, como privados, sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Párrafo. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido a intervalos no inferiores a tres (3) meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercerlo antes.

 

Artículo 13. Procedimientos de acceso.

La información mencionada en el artículo anterior puede obtenerse mediante los siguientes procedimientos a elección del Interesado:

1) La consulta de los datos por medio de su visualización; o,

2) La indicación de los Datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

Párrafo. La información debe ser suministrada en forma clara, amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales; exentos de codificaciones y en su caso acompañado de una explicación; en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

 

Artículo 14. Plazo.

El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de acceso del Interesado en un plazo máximo de diez (10) días laborables a contar desde la recepción de la solicitud de acceso del Interesado. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.

 

Artículo 15. Derechos de rectificación y cancelación.

Los Interesados tienen derecho a que sean rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos, debiendo en tal caso ser cancelados y sustituidos de oficio por el responsable del archivo de datos personales, por los correspondientes datos rectificados o completados, sin perjuicio de las facultades reconocidas a los afectados.

Párrafo. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del archivo de datos debe bloquear el archivo o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

 

Artículo 16. Cancelación.

Los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Párrafo I. Reglamentariamente se determina el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

Párrafo II. No pueden ser conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

 

Artículo 17. Bloqueo de datos.

La cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de los Poderes del Estado, de la Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. En todo caso, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

 

Artículo 18. Notificación de rectificación o cancelación.

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que debe también proceder a la rectificación y cancelación siendo en todo caso el responsable del tratamiento responsable ante la Agencia Dominicana de Protección de Datos y los interesados en caso de que el cesionario no cancele dichos datos de carácter personal, sin perjuicio de las responsabilidades que el responsable del tratamiento pueda repetir en tal cesionario, en su caso.

 

Artículo 19. Plazo.

El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de rectificación o cancelación del Interesado en el plazo de diez (10) días laborables a contar desde la recepción de la solicitud de rectificación y/o cancelación del Interesado.

 

Artículo 20. Cancelación.

La cancelación por el Interesado de sus datos de carácter personal no será de aplicación respecto del tratamiento de dichos por el responsable del tratamiento a los exclusivos efectos de ejercer aquellas acciones que en derecho procediesen frente al Interesado o, en su caso, de defenderse ante las acciones ejercitadas por el Interesado. Dichos datos de carácter personal no pueden ser tratados por el responsable del tratamiento más que con la finalidad aquí señalada, siendo eficaz la cancelación respecto a cualquier tratamiento distinto del aquí expresamente mencionado.

Párrafo. El incumplimiento de esta obligación dentro del término referido en este artículo, habilitará al interesado para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.

 

Artículo 21. Derecho de oposición.

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

1) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

2) Cuando se trate de archivos de datos personales que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en esta Ley, cualquiera que sea la empresa responsable de su creación.

3) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta, salvo que esté previsto en una Ley, o resulte del marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés.

En tales supuestos, el responsable del archivo de datos personales debe excluir del tratamiento los datos relativos al afectado.

 

Artículo 22. Ejercicio.

El derecho de oposición se ejerce mediante solicitud dirigida al responsable del tratamiento y el responsable del archivo de datos personales o tratamiento debe excluir del tratamiento los datos relativos al afectado que ejerza su derecho de oposición o denegar motivadamente la solicitud del interesado.

Párrafo. Cuando la oposición se realice con base en el numeral 1 del artículo anterior, en la solicitud deben hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

 

Artículo 23. Procedimiento de oposición, acceso, rectificación o cancelación.

Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán claramente establecidos y ampliados reglamentariamente.

Párrafo. La oposición, acceso, rectificación, actualización o cancelación de datos personales inexactos o incompletos que obren en registros públicos o privados debe efectuarse sin cargo alguno para el interesado.

 

Artículo 24. Tutela de los derechos.

Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Dominicana de Protección de Datos, en la forma que reglamentariamente se determine.

Párrafo. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos la cual debe asegurarse de la procedencia o improcedencia de la denegación.

 

Artículo 25. Plazo.

El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de tres meses.

Párrafo. Contra las resoluciones de la Agencia Dominicana de Protección de Datos procederá recurso ante el Tribunal Contencioso Tributario y Administrativo.

 

Artículo 26. Derecho a indemnización.

Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tienen derecho a ser indemnizados.

Párrafo I. Cuando se trate de archivos de datos personales de titularidad pública, la responsabilidad se exigirá de acuerdo con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).

Párrafo II. En el caso de los archivos de datos personales de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

 

Artículo 27. Acción de Hábeas Data.

Sin perjuicio de los mecanismos establecidos para el ejercicio de los derechos de los interesados, éstos podrán ejercer la acción judicial de Hábeas Data de conformidad con lo establecido en la legislación vigente al respecto.

 

Sección II.- Excepciones a los Derechos de los Afectados

 

Artículo 28. Excepciones a los derechos de acceso, rectificación cancelación y oposición.

Los responsables de los archivos de datos personales que contengan los datos sobre ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia pueden denegar el acceso, la rectificación, cancelación u oposición en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

Párrafo I. Los responsables de los archivos de datos personales de la Secretaria de Estado de Hacienda pueden, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.

Párrafo II. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en el presente artículo puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos, la cual debe asegurarse de la procedencia o improcedencia de la denegación.

 

Artículo 29. Excepciones al requerimiento de consentimiento.

No es preciso el consentimiento cuando los datos de carácter personal se recojan:

1) Para el ejercicio de las funciones propias de los poderes del Estado o de las Administraciones Públicas en el ámbito de sus competencias, o en virtud de una obligación legal.

2) Cuando se refieran a las partes de un contrato o precontrato de una relación comercial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

3) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 8 apartado 6 de la presente Ley.

4) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del archivo de datos personales o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de archivos de datos personales de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

5) Cuando, en el caso de residentes en la República Dominicana, se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria, ocupación, fecha de nacimiento y domicilio.

Párrafo. Si el responsable del tratamiento solicita el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, debe permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

 

Artículo 30. Otras excepciones a los derechos de los afectados.

Lo dispuesto en la presente Ley sobre Orgánica Protección de Datos de Carácter Personal a los interesados no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de la Administración Pública o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.

 

Sección III.- Comunicación de Datos

 

Artículo 31. Comunicación de datos.

Los datos de carácter personal objeto del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Párrafo. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley y de sus reglamentos de aplicación. El cesionario de los datos responderá solidaria y conjuntamente con el cedente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.

 

Artículo 32. Consentimiento.

El consentimiento exigido en el artículo anterior no es preciso:

1) Cuando la cesión está autorizada en una Ley.

2) Cuando se trate de datos recogidos de fuentes accesibles al público.

3) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de datos personales de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

4) Cuando la comunicación que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias, así como al de los Jueces o Tribunales u otros órganos de la Administración de Justicia en el ejercicio de las funciones.

5) Cuando la cesión se produzca entre entidades de la Administración Pública y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

6) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo de datos personales o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre salud y, en este caso, se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.

7) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.

 

Artículo 33. Nulidad del Consentimiento.

Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

Párrafo. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

 

Artículo 34. Acceso a los datos por cuenta de terceros.

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

 

Artículo 35. Contrato.

El tratamiento que realice el encargado por cuenta del responsable del tratamiento según lo previsto en el artículo anterior deberá constar en un contrato suscrito entre dicho encargado y el responsable, que cumpla con las siguientes características:

1) Esté formalizado por escrito y contenga las firmas de todas las partes o sus representantes autorizados;

2) Especifique de forma precisa las características de los servicios a realizar por el encargado del tratamiento, en particular, aquellos que se refieran al tratamiento de los datos de carácter personal por cuenta del responsable del tratamiento;

3) Establezca que el encargado del tratamiento sólo tratará los datos de carácter personal de acuerdo con las instrucciones del responsable del tratamiento contenidas en el contrato;

4) Reconozca la responsabilidad del responsable del tratamiento ante los interesados y la Agencia Dominicana de Protección de Datos;

5) Regule que, salvo en el caso que se prevé en la letra (h) de este apartado, el encargado del tratamiento no revelará ni divulgará los datos de carácter personal por ningún motivo distinto del cumplimiento de las instrucciones del responsable del tratamiento mencionadas en la letra (c) de este apartado;

6) Regule que el encargado del tratamiento no llevará a cabo ningún tipo de tratamiento de los datos de carácter personal que no se encuentre expresamente prevista en el contrato;

7) Regule las medidas de seguridad que deberá aplicar el encargado del tratamiento exigidas para el responsable del tratamiento de acuerdo con lo dispuesto en esta Ley; y

8) Prevea que en caso de que el encargado del tratamiento tenga que dar acceso a terceros subcontratistas a los datos de carácter personal, será preciso que dicho acceso se regule en un contrato que cumpla los requisitos previstos en este artículo; en ningún caso, permita realizar un tratamiento de los datos de carácter personal en condiciones menos restrictivas que las previstas en el contrato principal suscrito entre el responsable del tratamiento y el encargado del tratamiento; no otorgue a los subcontratistas mayores prerrogativas que las previstas en dicho contrato; deberá ser revisado y aprobado por el responsable del tratamiento de forma previa a su firma por el encargado del tratamiento.

Párrafo. Una vez cumplida la prestación contractual, los datos de carácter personal deben ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

Artículo 36. Responsabilidad.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

CAPÍTULO III.- DISPOSICIONES ORGANICAS

 

Sección I.- De la Agencia Dominicana de Protección de Datos

 

Artículo 37. Naturaleza.

La Agencia Dominicana de Protección de Datos es una institución autónoma y descentralizada con personalidad jurídica, autonomía administrativa, financiera y técnica, rectora de las políticas en materia de protección de datos de carácter personal, que actúa con independencia de la Administración Pública en el ejercicio de sus funciones.

Párrafo. La Agencia Dominicana de Protección de Datos está adscrita al Ministerio de la Presidencia, y bajo la vigilancia del ministro/a de la presidencia.

 

Artículo 38. Régimen jurídico.

La Agencia Dominicana de Protección de Datos se rige por lo dispuesto en la presente Ley, y en el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus reglamentos, actúa de conformidad con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008) y sus modificaciones. En sus adquisiciones patrimoniales y contratación estará sujeta a la ley 340-06 de Compras y Contrataciones de Bienes, Servicios, Obras y Concesiones del dieciocho (18) de agosto del año dos mil seis (2006), y sus modificaciones y reglamentos.

 

Artículo 39. Funciones.

Son funciones de la Agencia Dominicana de Protección de Datos:

1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

3) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones y resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.

4) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

5) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

6) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos de datos personales, cuando no se ajuste a sus disposiciones.

7) Ejercer la potestad sancionadora referida en la presente Ley.

8) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

9) Recabar de los responsables de los archivos de datos personales cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

10)Velar por la publicidad de la existencia de los archivos de datos personales, a cuyo efecto publicará periódicamente una relación de dichos archivos, con la información adicional que el Director de la Agencia determine.

11)Redactar y publicar una memoria anual.

12)Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

13)Velar por el cumplimiento de las disposiciones que la Legislación Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los archivos de datos personales constituidos con fines exclusivamente estadísticos.

14)Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Párrafo I. Las instrucciones y resoluciones de la Agencia Dominicana de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.

Párrafo II. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un archivo de datos personales o su tratamiento en el Registro General de Protección de Datos, ni a aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo.

 

Artículo 40. Potestad de Inspección.

La Agencia Dominicana de Protección de Datos puede inspeccionar los archivos de datos personales a que hace referencia la presente Ley, recabando cuantas informaciones precise para el cumplimiento de sus cometidos. Puede solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

Párrafo. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tienen la consideración de autoridad pública en el desempeño de sus cometidos, y estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

 

Artículo 41. Director de la Agencia Dominicana de Protección de Datos.

El Director de la Agencia Dominicana de Protección de Datos dirige la Agencia y ostenta su representación. Es designado por el Presidente de la República por un período de cuatro años, ejerciendo sus funciones con plena independencia y objetividad, y no está sujeto a instrucción alguna en el desempeño de aquéllas.

Párrafo. El Director contará con la asistencia de un Consejo Consultivo.

 

Artículo 42. Cese de Funciones.

El Director de la Agencia Dominicana de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el artículo anterior a petición propia, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por causa afectiva o infamante.

 

Artículo 43. Incompatibilidades.

El Director de la Agencia Dominicana de Protección de Datos no puede ejercer ningún otro cargo, exceptuando el magisterio, y está sujeto a las demás incompatibilidades fijadas por la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).

 

Artículo 44. Consejo Consultivo.

El Director de la Agencia Dominicana de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

1) Un representante de la Administración del Estado, designado por el Gobierno.

2) Dos expertos en la materia, propuesto por las Universidades del modo que se prevea reglamentariamente.

3) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

4) Un representante del sector de archivos de datos personales privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

Párrafo. El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

 

Artículo 45. Personal.

Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos son desempeñados por funcionarios de la Administración Pública y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.

Párrafo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

 

Artículo 46. Financiación y Presupuesto.

La Agencia Dominicana de Protección de Datos cuenta, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:

1) Las asignaciones que se establezcan anualmente en la Ley de Presupuesto General del Estado.

2) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.

3) Cualesquiera otros que legalmente puedan serle atribuidos.

 

CAPÍTULO IV.- DISPOSICIONES PROCEDIMENTALES

 

Sección I.- De la Inscripción en el Registro General de Protección de Datos

 

Artículo 47. Creación.

Se crea el Registro General de Protección de Datos, como base de datos consolidada para los datos de carácter personal tanto de titularidad pública como de titularidad privada que cumplan con las condiciones establecidas en esta Ley.

Párrafo. El Registro General de Protección de Datos es manejado por la Agencia Dominicana de Protección de Datos.

 

Artículo 48. Inscripción.

Por vía reglamentaria se regulará el procedimiento de inscripción de los archivos de datos personales, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás supuestos pertinentes; comprendiendo como mínimo la siguiente información:

1) Nombre y domicilio del responsable.

2) Características y finalidad del archivo.

3) Naturaleza de los datos personales contenidos en cada archivo.

4) Forma de recolección y actualización de datos.

5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos.

6) Modo de interrelacionar la información registrada.

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información.

8) Tiempo de conservación de los datos.

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

Párrafo. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

 

Artículo 49. Documento de seguridad.

El responsable del archivo de datos personales o del tratamiento debe elaborar un documento de seguridad que se regulará reglamentariamente y en el que recogen las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que serán de cumplimiento obligatorio para el personal con acceso a los sistemas de información.

Párrafo. El documento de seguridad puede ser único y contentivo de todos los archivos de datos personales o tratamientos, o bien individualizado para cada archivo de datos personales o tratamiento. También pueden elaborarse distintos documentos de seguridad agrupando archivos de datos personales o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable, distinguiendo las singularidades propias de los archivos de datos personales y tratamientos automatizados y no automatizados. En todo caso, tiene el carácter de documento interno de la organización.

 

Sección II.- De los Ficheros de Titularidad Pública

 

Artículo 50. Creación, modificación o supresión.

La creación, modificación o supresión de los archivos de datos personales de la Administración Pública sólo puede hacerse por medio de disposición general publicada en un diario de circulación nacional.

Párrafo I. Las disposiciones de creación o de modificación de archivos de datos personales deberán indicar:

1) La finalidad del archivo de datos personales y los usos previstos para el mismo.

2) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal y el carácter facultativo u obligatorio de su suministro por parte de aquellas.

3) El procedimiento de recogida y actualización de los datos de carácter personal.

4) La estructura básica del archivo de datos personales, automatizado o no, y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

5) Las cesiones de datos de carácter personal y, en su caso, las transferencias e interconexiones de datos que se prevean a países terceros.

6) Los órganos de la Administración responsables del archivo de datos personales, precisando la dependencia jerárquica, en su caso.

7) Los servicios o unidades ante los que pudiesen ejercerse los derechos de acceso, rectificación, cancelación y oposición.

8) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Párrafo II. Las disposiciones que se dicten para la supresión de los archivos de datos personales deberán establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

 

Artículo 51. Comunicación de datos entre Instituciones de la Administración Pública.

Los datos de carácter personal recogidos o elaborados por la Administración Pública para el desempeño de sus atribuciones no pueden ser comunicados a otras Instituciones de la Administración Pública para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Institución Pública obtenga o elabore con destino a otra. En estos casos no será necesario el consentimiento del afectado a que se refiere la presente Ley.

Párrafo I. No obstante lo establecido en la presente Ley, la comunicación de datos entre instituciones de la administración pública recogidos de fuentes accesibles al público no puede efectuarse a archivos de datos personales de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

Párrafo II. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que debe efectuar a la Administración Tributaria en el ejercicio de sus competencias, conforme a lo dispuesto en su normativa reguladora, no requerirá el consentimiento del afectado.

 

Sección III.- De los Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia

 

Artículo 52. Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia.

Los archivos de datos personales creados por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, están sujetos al régimen general de la presente Ley.

Párrafo I. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos en atención a la prevención de un peligro real, debiendo ser almacenados en archivos de datos personales específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.

Párrafo II. La recogida y tratamiento por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia de los datos especialmente protegidos a que hace referencia la presente Ley, pueden realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

 

Artículo 53. Cancelación.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Párrafo. Debe considerarse especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

 

Sección IV.- De los Ficheros de Titularidad Privada

 

Artículo 54. Creación de archivos de datos personales de titularidad privada.

Pueden crearse archivos de datos personales de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Los archivos de datos personales de titularidad privada que contengan datos de carácter personal deberán notificarse y registrarse conforme lo previsto en la presente Ley.

Párrafo I. No se registran datos de carácter personal en archivos de datos personales que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Párrafo II. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los archivos de datos personales y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 8 de esta Ley.

 

Artículo 55. Notificación.

Toda persona o entidad que proceda a la creación de archivos de datos personales lo notificará previamente a la Agencia Dominicana de Protección de Datos.

Párrafo. Deberán comunicarse a la Agencia Dominicana de Protección de Datos los cambios que se produzcan en la finalidad del archivo de datos personales automatizado, en su responsable y en la dirección de su ubicación.

 

Artículo 56. Inscripción.

Toda persona o entidad que proceda a la creación de archivos de datos personales debe hacer la correspondiente inscripción del mismo en el Registro General de Protección de Datos, que inscribirá el archivo de datos personales si la notificación se ajusta a los requisitos exigibles. En caso contrario puede pedir que se completen los datos que falten o se proceda a su subsanación.

Párrafo I. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Dominicana de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos personales automatizado a todos los efectos.

Párrafo II. Por vía reglamentaria se procederá a la regulación detallada de los distintos supuestos que debe contener la notificación de la información necesaria para cumplir con las previsiones sobre la información que debe contener el registro, así como información sobre su ubicación, el tipo de datosde carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

 

Artículo 57. Prestación de servicios automatizados de datos de carácter personal.

Cuando por cuenta de terceros se presten servicios de tratamiento de datos de carácter personal, éstos no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

Párrafo. Una vez cumplida la prestación contractual, y los supuestos legalmente previstos, dejando a salvo la posible puesta a disposición de las Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades, los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

 

Artículo 58. Comunicación de la cesión de datos.

El responsable del archivo de datos personales, en el momento en que se efectúe cualquier cesión de datos, debe informar de ello a los afectados, indicando, asimismo, la finalidad del archivo de datos personales, la naturaleza de los datos que han sido cedidos, el nombre y dirección del cesionario.

Párrafo I. En los supuestos en que se produzca una modificación del responsable del archivo de datos personales como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de comunicar al o los interesados de esta situación.

Párrafo II. La obligación establecida en el párrafo anterior no existirá cuando la cesión venga impuesta por Ley.

 

Artículo 59. Datos incluidos en las fuentes de acceso público.

Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

Párrafo. Los interesados tienen derecho a que la entidad responsable del mantenimiento de los listados de los Colegios Profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, así como el derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.

 

Artículo 60. Plazo.

La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia debe realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.

 

Artículo 61. Fuentes de acceso público.

Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico o en formato electrónico pierden el carácter de fuente accesible con la nueva edición que se publique.

 

Artículo 62. Guías de servicios de telecomunicaciones.

Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica.

 

Artículo 63. Prestación de servicios de información sobre solvencia patrimonial y crédito.

Los servicios de información sobre la solvencia patrimonial y el crédito que se presten exclusivamente en el ámbito de la República Dominicana, o en los que no exista tratamiento de datos resultado de transferencias de datos a la República Dominicana desde países terceros, se rigen por esta la Ley.

Párrafo I. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito en el ámbito de la República Dominicana y en caso de transferencias de datos a la República Dominicana desde países terceros, sólo pueden tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

Párrafo II. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones pecuniarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en archivos, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

Párrafo III. Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

 

Artículo 64. Naturaleza de los datos.

Sólo se pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos. El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.

Párrafo. En los restantes supuestos, los datos deben ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

 

Artículo 65. Información.

El acreedor debe informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos legales, los datos relativos al impago podrán ser comunicados a archivos de datos personales relativos al cumplimiento o incumplimiento de obligaciones pecuniarias.

 

Artículo 66. Derechos de acceso, rectificación o Cancelación.

Cuando el interesado ejerza su derecho de acceso en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia, se tendrán en cuenta las siguientes reglas:

1) Si la solicitud se dirigiera al titular del archivo de datos personales común o Buró de Información Crediticia, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el archivo. En este caso, el titular del archivo de datos personales común o Buró de Información Crediticia deberá, además de dar cumplimiento a lo establecido en la legislación aplicable, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses, el nombre y dirección de los cesionarios.

2) Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, ésta deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para que pueda completar el ejercicio de su derecho de acceso.

Párrafo. Cuando el interesado ejerza sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia se tendrán en cuenta las siguientes reglas:

1) Si la solicitud se dirige al titular del archivo de datos personales común o Buró de Información Crediticia, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del archivo de datos personales común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.

2) Si la solicitud se dirige a quien haya facilitado los datos al archivo de datos personales común o Buró de Información Crediticia procederá a la rectificación o cancelación de los mismos en sus archivos y a notificarlo al titular del archivo de datos personales común en el plazo de cinco días laborables, dando asimismo respuesta al interesado.

3) Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al archivo de datos personales común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de cinco días laborables, proporcionándole, además, la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para, que en su caso, puedan ejercer sus derechos ante el mismo.

 

Artículo 67. Archivos de datos personales comunes que contengan datos de carácter personal establecidos por las entidades aseguradoras.

Las entidades aseguradoras pueden establecer archivos de datos personales comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados archivos de datos personales no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales en archivos comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercer los derechos de acceso, rectificación y cancelación previstos en la Ley.

Párrafo. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.

 

Artículo 68. Tratamientos con fines de publicidad y de prospección comercial.

Queda expresamente prohibida la remisión, directa o indirectamente, de publicidad cuya recepción no haya sido solicitada o consentida expresamente por el interesado receptor de la misma.

Párrafo I. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas sólo pueden utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público, o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

Párrafo II. Cuando los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al interesado debe ser informado del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. Dicha comunicación debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

Párrafo III. Los interesados tienen derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad pueden conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

 

Artículo 69. Archivos de datos personales relativos a las encuestas.

Las normas de la presente ley no se aplican a las encuestas de opinión, mediciones y estadísticas relevantes, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

Párrafo. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.

 

Artículo 70. Códigos tipo.

Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Párrafo I. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación, y en el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

Párrafo II. Los códigos tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Dominicana de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

 

Artículo 71. Códigos de conducta.

Las asociaciones o entidades representativas de responsables o usuarios de archivos de datos personales de titularidad privada pueden elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personalesque tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.

Párrafo. Dichos códigos deben ser inscritos en el Registro General de Protección de que lleva la Agencia Dominicana de Protección de Datos, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.

 

Sección V.- Otros Datos

 

Sub-Sección I.- Datos Especialmente Protegidos

 

Artículo 72. Datos especialmente protegidos.

Ninguna persona puede ser obligada a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se debe advertir al interesado acerca de su derecho a no prestarlo.

Párrafo I. Quedan prohibidos los archivos de datos personales creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

 

Artículo 73. Consentimiento.

Sólo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento los datos de carácter personal que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Párrafo. Se exceptúan los archivos de datos personales mantenidos por los partidos políticos, sindicatos, iglesias o comunidades religiosas y asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

 

Artículo 74. Excepción.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, o cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

 

Artículo 75. Datos de infracciones penales.

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de datos personales de la Administración Pública competente en los supuestos previstos en las normas reguladoras.

 

Sub-Sección II.- Datos Relativos a la Salud

 

Artículo 76. Datos relativos a la salud.

Sin perjuicio de lo establecido en la presente ley respecto de la cesión de datos, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes pueden proceder al tratamiento de los datos de carácter personal relativos a la salud física o mental de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación dominicana sobre salud.

Párrafo. No obstante lo dispuesto sobre datos especialmente protegidos, pueden ser objeto de tratamiento los datos de carácter personal que se refieren al origen racial, a la salud y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

 

Sub-Sección III.- Tratamiento de Datos de Menores de Edad

 

Artículo 77. Tratamiento de datos de menores de edad.

Puede procederse al tratamiento de los datos de los mayores de dieciséis (16) años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de dieciséis (16) años se requerirá el consentimiento de los padres o tutores.

Párrafo I. En ningún caso puede recabarse del menor de edad datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

Párrafo II. Cuando el tratamiento se refiera a datos de menores de dieciséis (16) años de edad, la información dirigida a los mismos debe expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.

Párrafo III. Corresponde al responsable del archivo de datos personales o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

 

Sección VI.- Movimiento Internacional de Datos

 

Artículo 78. Representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la República Dominicana y utilice en el tratamiento de datos medios situados en territorio dominicano, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en la República Dominicana, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Párrafo I. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

Párrafo II. Reglamentariamente se establecerán los casos en los que por utilizarse medios para el tratamiento de datos situados en la República Dominicana y utilizarse los mismos únicamente con fines de tránsito, el responsable del tratamiento no establecido en territorio de la República podrá ser eximido de designar un representante en la misma.

 

Artículo 79. Norma general.

No pueden realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países, u organismos internacionales o supranacionales, que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa de la Agencia Dominicana de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En todo caso, la transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley y deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos.

Párrafo I. El carácter adecuado del nivel de protección que ofrece el país de destino es evaluado por la Agencia Dominicana de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Párrafo II. La Agencia Dominicana de Protección de Datos acordará la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable conforme a lo dispuesto en el apartado anterior y mantendrá actualizado dicho listado a través de medios informáticos o telemáticos.

 

Artículo 80. Autorización.

Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado o no se haya considerado por la Agencia Dominicana de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización de la Agencia Dominicana de Protección de Datos.

Párrafo. La autorización podrá ser otorgada en caso de que el responsable del archivo de datos personales o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías establecidas en la presente ley y sus reglamentos.

 

Artículo 81. Suspensión temporal de transferencia de datos.

La Agencia Dominicana de Protección de Datos puede acordar, previa audiencia con el exportador, la suspensión temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes:

1) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.

2) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Dominicana de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.

 

Artículo 82. Excepciones.

Lo dispuesto en los artículos anteriores no será de aplicación:

1) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte la República Dominicana.

2) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

3) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.

4) Cuando se refiera a transferencias pecuniarias conforme a su legislación específica.

5) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

6) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del archivo de datos personales o para la adopción de medidas precontractuales adoptadas a petición del afectado.

7) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del archivo de datos personales y un tercero.

8) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración Fiscal o Aduanera para el cumplimiento de sus competencias.

9) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

10) Cuando la transferencia se efectúe, a petición de una persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

11) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

 

CAPÍTULO V.- DISPOSICIONES DE INFRACCIONES Y SANCIONES

 

Artículo 83. Responsables.

La Agencia Dominicana de Protección de Datos puede aplicar el régimen sancionador administrativo establecido en la presente Ley a los responsables de los archivos de datos personales y, en general, a los encargados de los tratamientos, sin perjuicio de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.

 

Artículo 84. Tipos de infracciones y sus sanciones.

Las infracciones se califican de la siguiente manera y tendrán las sanciones siguientes:

1) Sanciones leves, cuya comisión será sancionada con multa de uno (1) a veinte (20) salarios mínimos.

2) Sanciones graves, cuya comisión será sancionada con multa de veinte (20) a cuarenta (40) salarios mínimos.

3) Sanciones muy graves, cuya comisión será sancionada con multa de cuarenta (40) a sesenta (60) salarios mínimos.

Párrafo I. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Párrafo II. Si en razón de las circunstancias concurrentes, se aprecia una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, la Agencia Dominicana de Protección de Datos establecerá lacuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

Párrafo III. En ningún caso podrá imponerse una sanción más grave que la fijada en ésta Ley para la clase de infracción en la que se constituya la que se pretenda sancionar.

 

Artículo 85. Infracciones leves.

Son infracciones leves:

1) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

2) No proporcionar la información que solicite la Agencia Dominicana de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

3) No solicitar la inscripción del archivo de datos personales en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

4) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles las informaciones que señala la presente Ley.

5) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.

 

Artículo 86. Infracciones graves.

Son infracciones graves:

1) Proceder a la creación de archivos de datos personales de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada de acuerdo a lo establecido en la presente Ley.

2) Proceder a la creación de archivos de datos personales de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

3) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.

4) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

5) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

6) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

7) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a los archivos de datos personales que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros archivos de datos personales que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

8) Mantener los archivos de datos personales, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

9) No remitir a la Agencia Dominicana de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

10) La obstrucción al ejercicio de la función inspectora.

11)No inscribir los archivos de datos personales en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Dominicana de Protección de Datos.

12) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.

 

Artículo 87. Infracciones muy graves.

Son infracciones muy graves:

1) La recogida de datos en forma engañosa y fraudulenta.

2) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

3) Recabar y tratar los datos de carácter personal especialmente protegidos a los que se refiere esta Ley cuando no medie el consentimiento expreso del afectado, cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición de crear archivos de datos personales con la finalidad exclusiva de almacenar datos de carácter personal especialmente protegidos.

4) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Dominicana de Protección de Datos o por las personas titulares del derecho de acceso.

5) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Dominicana de Protección de Datos.

6) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

7) La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hace referencia la presente Ley, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

8) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

9) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo de datos personales.

10) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando la Agencia Dominicana de Protección de Datos lo ordene.

 

Artículo 88. Infracciones de la Administración Pública.

Cuando las infracciones a que se refiere el presente Capítulo fuesen cometidas en archivos de datos personales de los que sean responsabilidad de la Administración Pública, el Director de la Agencia Dominicana de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo de datos personales, al órgano del quedependa jerárquicamente y a los afectados si los hubiera.

Párrafo I. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de la ley 41-08 de Función Pública.

Párrafo II. Se deben comunicar a la Agencia Dominicana de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el presente artículo.

 

Artículo 89. Plazos de prescripción.

Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año, comenzando a contarse dichos plazos desde el día en que el titular de la información tiene conocimiento de la vulneración.

Párrafo. Interrumpe la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

 

Artículo 90. Procedimiento sancionador.

Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título.

Los procedimientos sancionadores tramitados por la Agencia Dominicana de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes tendrán una duración máxima de seis meses.

Párrafo. Las resoluciones de la Agencia Dominicana de Protección de Datos dictadas en ocasión de un proceso sancionador agotan la vía administrativa.

 

Artículo 91. Potestad de inmovilización de archivos de datos personales.

En los supuestos constitutivos de infracción muy graves, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que las leyes garantizan, el Director de la Agencia Dominicana de Protección de Datos puede, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos personales, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Dominicana de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.

 

CAPÍTULO VI.- DISPOSICIONES TRANSITORIAS, MODIFICATORIAS Y FINALES

 

Sección I.- Disposiciones Transitorias

 

Artículo 92. Tratamientos creados por Convenios Internacionales.

La Agencia Dominicana de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte la República Dominicana que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio.

 

Sección II.- Disposiciones Modificatorias

 

Artículo 93.

Se modifica el artículo 19, parte in fine, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Artículo 19.- Los consumidores tendrán derecho a solicitar de los BICs sus reportes de crédito, a través de las unidades especializadas de los BICs. Dichas unidades estarán obligadas a tramitar las solicitudes presentadas por los consumidores de manera gratuita.”

 

Artículo. 94.

Se modifica el párrafo I del artículo 19, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Párrafo I.- El BIC deberá presentar el reporte de crédito solicitado en forma clara, completa y accesible, de tal manera que se explique por sí mismo, y deberá ponerlo a disposición del consumidor en un plazo no mayor de diez (10) días hábiles, contados a partir de la fecha en que BIC hubiera recibido la solicitud correspondiente.”

 

Artículo. 95.

Se modifica el artículo 22 de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:

“Artículo 22.- Si las unidades especializadas de las Entidades de Intermediación Financiera, o en el caso de Agentes Económicos, de quienes designen como responsables para esos efectos, no hacen llegar al BIC su respuesta a la reclamación presentada por el cliente o consumidor dentro de un plazo de siete (7) días hábiles, contados a partir de que hayan recibido la notificación de la reclamación, el BIC deberá modificar o eliminar de su base de datos la información que conste en el registro de que se trate, según le haya solicitado el cliente o consumidor, así como la leyenda: “Registro Impugnado”.

 

Sección III.- Disposiciones Finales

 

Artículo 96. Archivos de datos personales y Registro de Población de la Administración Pública.

La Administración Pública puede solicitar a la Junta Central Electoral, sin consentimiento del interesado, una copia actualizada del archivo de datos personales formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en las oficialías de Estado Civil y los padrones electorales correspondientes para la creación de archivos de datos personales o registros de población, teniendo siempre estos archivos o registros como finalidad la comunicación de los distintos órganos de la administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas de la Administración Pública.

 

Artículo 97.

Los archivos de datos personales de los prestadores de servicios de información crediticia deberán suprimir, o en su caso, omitir asentar, todo dato referido al incumplimiento o mora en el pago de una obligación, si ésta hubiere sido cancelada al momento de la entrada en vigencia de la presente ley.

 

Artículo 98. Archivos de datos personales preexistentes.

Los archivos de datos personales y tratamientos automatizados, tanto los no inscritos, como los inscritos desde la entrada en vigor de la Ley, en el Registro General de Protección de Datos deberán adecuarse y cumplir con la presente Ley dentro del plazo de dos años, a contar desde su entrada en vigor. En dicho plazo, los archivos de datos personales de titularidad privada deberán ser comunicados a la Agencia Dominicana de Protección de Datos y los archivos de datos personales de titularidad pública, deberán aprobar la pertinente disposición de regulación del archivo de datos personales o adaptar la existente.

Párrafo I. En el supuesto de archivos de datos personales y tratamientos no automatizados, su adecuación a la presente Ley y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de tres años a contar desde la entrada en vigencia de la presente Ley, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.

Párrafo II. En caso de transferencias de datos a la República Dominicana desde países terceros, los responsables o encargados del archivo de datos personales o su tratamiento deberán adecuarse y cumplir con la presente Ley dentro del plazo de un año a contar desde su entrada en vigor.

 

Artículo 99. Reglamentación.

La Agencia Dominicana de Protección de Datos elaborará el reglamento necesario para la aplicación y desarrollo de la presente ley y el Poder Ejecutivo lo dictará dentro de los noventa (90) días después de su entrada en vigencia.

 

Artículo 100. Entrada en vigencia.

La presente Ley entra en vigencia después de su promulgación y publicación conforme a la Constitución de la República y transcurridos los plazos fijados en el Código Civil Dominicano.

 

Félix Bautista

, Senador Provincia San Juan