Proyecto de Ley Orgánica sobre Protección de Datos de Carácter Personal
Exposición de Motivos
La amplia gama de derechos protegidos que contempla nuestra Constitución, la convierte en uno de los instrumentos más garantistas que ha regido la nación dominicana. Ella comprende inclusive aquellos derechos fundamentales de tercera generación que hoy día significan una protección a los derechos colectivos que antes no existía.
Dentro del ámbito de esta protección de derechos individuales se encuentra el mandato constitucional de legislar sobre el derecho a la intimidad y al honor personal contenido en el artículo 44. Pero este derecho posee la peculiaridad de desdoblarse en varios ámbitos de aplicación que ameritan por igual una protección efectiva.
Uno de esos ámbitos lo es la protección contenida en el numeral 2 de tan importante artículo y que refiere al derecho de toda persona de acceder a la información y datos que de ella o sus bienes existan en cualquier registro, sea oficial o privado; conocer el destino y uso que se haga de ellos y la posibilidad de exigir judicialmente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten sus
derechos. En definitiva, se trata sobre la protección de datos de carácter personal.
La protección de datos de carácter personal surge de la necesidad de adecuar los marcos normativos a la realidad de la sociedad actual: la sociedad de la información. Así lo establece la jurista dominicana, Rosalía Sosa: “el derecho a la protección de los datos personales de las personas se contrapone a la erosión y degradación que afectan a los derechos fundamentales ante determinados usos de la tecnología.”
Es por ello que la propia Constitución establece cuales son los principios que deben regir en cuanto al manejo de este tipo de datos, a saber: calidad, licitud, lealtad, seguridad y finalidad. Todo ello para proteger este ámbito de la intimidad que hoy día se encuentra vulnerable ante los masivos flujos de información que están al alcance de todos.
El principio de calidad implica que los datos de carácter personal que sean almacenados deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; la licitud establece que los datos no pueden tener finalidades contrarias a las leyes y/o al orden público; por su parte, el principio de lealtad impone la prohibición de recoger los datos por medios fraudulentos o desleales; el principio de seguridad impone a los responsables de almacenar este tipo de datos, adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado; por último, el principio de finalidad implica que el tratamiento de este tipo de datos sólo se haga cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.
Respondiendo a esta realidad y al mandato Constitucional hemos desarrollado la presente propuesta de Ley Orgánica sobre Protección de Datos de Carácter Personal.
Este proyecto ha sido elaborado siguiendo, en primer término, los parámetros constitucionales, y en segundo lugar, los lineamientos de otras legislaciones similares que colocarán a la República Dominicana a la par con países como Chile y España que ya cuentan con este tipo de normativa de avanzada.
De esta forma, el objeto del proyecto es garantizar la protección de los datos de carácter personal asentados en archivos, bancos de datos o cualquier otro medio de almacenamiento que sean objeto de tratamiento por parte de terceros, sean estos archivos de carácter público o privado, para que no sean objeto de un uso indiscriminado ni contrario a los principios establecidos por la Constitución dominicana.
De igual modo, se establece la tutela de los derechos de las personas titulares de la información y los medios con que cuentan para reclamar su respeto, tomando en cuenta el procedimiento de hábeas data ya establecido en la Ley Orgánica 137-11 del Tribunal Constitucional y de los Procedimientos Constitucionales.
Se crea, igualmente, la Agencia Dominicana de Protección de Datos con la finalidad de velar por el cumplimiento de esta normativa y regular y vigilar el manejo de datos de carácter personal dentro del ámbito nacional.
También se establece un sistema de sanciones administrativas para aquellas personas o entidades que incurran en infracciones y vulneren los derechos de los titulares de la información.
El proyecto como ya hemos dicho representa un avance hacia el Estado Social y Democrático de Derecho que establece nuestra Constitución en donde la protección del Estado debe llegar a todos los ámbitos de la vida de los ciudadanos, no en pro de un sistema intervencionista sino en pro de un sistema garantista.
Félix Bautista
, Senador Provincia San Juan
LEY ORGANICA SOBRE PROTECCION DE DATOS DE CARÁCTER PERSONAL
EL CONGRESO NACIONAL
En Nombre de la República
CONSIDERANDO PRIMERO: Que el derecho a la intimidad y al honor personal es un derecho fundamental establecido en la Constitución
de la República y reconocido por todas las convenciones y tratados internacionales sobre derechos humanos;
CONSIDERANDO SEGUNDO: Que la intimidad comprende el ámbito privado de la vida de una persona vedado para todas las demás que le rodean así como la información, datos y situaciones que en ese ámbito se genere, la cual
debe gozar igualmente de la protección adecuada ante a la injerencia de terceros no autorizados;
CONSIDERANDO TERCERO: Que toda persona tiene, el derecho de decidir sobre la utilización de los datos que sobre ella y sus bienes existan pudiendo acceder a los mismos de manera libre y demandar la actualización, rectificación o destrucción de tales datos cuando no sean acordes a la realidad o resultes lesivos para sus derechos;
CONSIDERANDO CUARTO: Que la Constitución de la República establece en su artículo 44.2 establece que “toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos”;
VISTOS:
La Constitución de la República;
La Declaración Universal de Derechos Humanos, del 10 de diciembre del año 1948;
El Pacto Internacional de Derechos Civiles y Políticos, del 23 de marzo del año 1976, ratificado por República Dominicana mediante Resolución 684, de fecha 27 de octubre de 1977;
La Convención Interamericana de Derechos Humanos, del 22 de noviembre del año 1969, ratificada por República Dominicana mediante Resolución nº 739 del 25 de diciembre del año 1977;
Ley 8-92 que pone bajo la dependencia de la Junta Central Electoral, la Dirección General de la Cédula de Identificación Personal y las Oficinas y Agencias Expedidoras de Cédulas, la Oficina Central del Estado Civil y las Oficialías del Estado Civil, del 18 de marzo del año 1992;
Ley 275-97 Electoral del 21 de diciembre del año 1997;
Ley 19-01 que crea el defensor del Pueblo, del 1 de febrero del año 2001;
Ley 42-01 General de Salud, del 8 de marzo del año 2001;
Ley 76-02 que estable el Código Procesal Penal de la República Dominicana, del 19 de julio del año 2002;
Ley 136-03 que crea el Código para el Sistema de Protección y los derechos Fundamentales de Niños, Niñas y Adolescentes, del 7 de agosto del año 2003;
Ley 200-04 General de Libre Acceso a la Información Pública, del 28 de julio del año 2004;
Ley 288-05 que crea las Sociedades de Intermediación Crediticia y de Protección al Titular de la Información, del 18 de agosto del año 2005;
Ley 176-07 del Distrito Nacional y los Municipios, del 12 de julio del año 2007;
Ley 481-08 General de Archivos de la República Dominicana, del 25 de noviembre del año 2008;
Ha dado la siguiente ley:
CAPÍTULO I.- DISPOSICIONES INICIALES
Sección I.- Del Objeto, Alcance, Ámbito de Aplicación, Restricciones y Principios
Artículo 1. Objeto.
La presente ley tiene por objeto garantizar y proteger el tratamiento y a toda modalidad de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos registrados en cualquier soporte conocido o por conocer sean de titularidad privada o pública.
Artículo 2. Alcance.
La presente ley es de aplicación a los datos de carácter personal registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos en los ámbitos público y privado dentro del territorio dominicano.
Artículo 3. Ámbito de Aplicación.
Esta ley rige todo tratamiento de datos de carácter personal:
1) Cuando el tratamiento sea efectuado en territorio dominicano en el marco de las actividades de un establecimiento del responsable del tratamiento.
2) Cuando al responsable del tratamiento no establecido en territorio dominicano, le sea de aplicación la legislación dominicana en aplicación de normas de Derecho Internacional Público.
3) Cuando el responsable del tratamiento de datos o el usuario de los mismos no esté establecido en territorio dominicano y utilice en el tratamiento de datos por medios situados en territorio dominicano.
4) Los archivos de datos personales regulados por la legislación de régimen electoral.
5) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación dominicana sobre la función estadística pública.
6) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación del personal de las Fuerzas Armadas.
7) Los derivados del Registro Civil y del Sistema de Información Criminal de la Procuraduría General de la república.
8) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, asimismo como las empresas de vigilancia y seguridad privada de conformidad con la legislación sobre la materia. No obstante el responsable de los archivos de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.
Artículo 4. Restricciones.
El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:
1) A los archivos de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
2) A los archivos de datos personales sometidos a la normativa sobre protección de materias clasificadas.
3) A los archivos de datos personales establecidos para la investigación de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del archivo de datos personales comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Dominicana de Protección de Datos.
4) A los archivos de datos personales referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los archivos de datos personales o tratamientos que contengan datos de éste con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
5) A los tratamientos de datos referidos a personas jurídicas, ni a los archivos de datos personales que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Artículo 5. Principios.
Los principios que fundamentan la presente ley son:
1) Licitud de los Archivos de Datos Personales. Los archivos de datos personales no pueden tener finalidades contrarias a las leyes y/o al orden público, siendo debidamente registrados y apegados a los principios establecidos en esta ley y los reglamentos que se dicten en desarrollo de la misma.
2) Calidad de los Datos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado y sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
3) Derecho de Información. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, de la existencia y finalidad del
archivo de datos personales; de la finalidad de la recogida de los datos y del tratamiento, así como de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; de las consecuencias de la obtención de los datos, de la negativa a suministrarlos o de la inexactitud de los mismos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
4) Consentimiento del Afectado. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, informado e inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento deberá constar, ya por escrito, ya por otro medio que permita evidenciar el mismo, de acuerdo a las circunstancias y el canal de comunicación y podrá ser revocado cuando exista causa justificada para ello.
5) Seguridad de los Datos. El responsable del archivo de datos personales, y en su caso, el encargado del tratamiento, deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado.
6) Deber de Secreto. El responsable del archivo de datos personales y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo de datos personales o, en su caso, con el responsable del mismo, salvo que sea relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa
nacional o la salud pública.
7) Lealtad. Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos.
8) Finalidad de los datos. Los datos sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.
Sección II
.- Definiciones
Artículo 6. Definiciones.
A los efectos de la presente ley y su aplicación, se asumen los siguientes conceptos:
1) Afectado o Interesado: Persona física titular de los datos que sean objeto del tratamiento, con independencia de su domicilio legal o país de residencia.
2) Archivo de Datos Personales: Conjunto organizado de datos de carácter personal, que sean objeto de tratamiento o procesamiento, automatizado o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los mismos podrán ser de titularidad privada o de titularidad pública.
3) Archivos de Datos de Titularidad Privada: Son aquellos archivos de datos personales de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los archivos de los que sean responsables las corporaciones de derecho público, en cuanto dichos archivos no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.
4) Archivos de Datos de Titularidad Pública: Son aquellos archivos de datos personales de los que sean responsables los órganos de la administración pública, así como las entidades u organismos vinculados o dependientes de la misma y las entidades autónomas y descentralizadas del Estado siempre que su finalidad sea el ejercicio de potestades de derecho público.
5) Cancelación: Procedimiento en virtud del cual el responsable del tratamiento cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de la administración pública, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
6) Cesión o Comunicación de Datos: Tratamiento de datos que supone su revelación a una persona distinta del afectado o interesado.
7) Consentimiento del Interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.
8) Datos Especialmente Protegidos: Datos de carácter personal que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
9) Datos de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
10) Datos de Carácter Personal Relacionados con la Salud: Cualquier información concerniente a la salud pasada, presente y futura, física o mental, de un individuo.
11) Destinatario o Cesionario: Persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
12) Encargado del Tratamiento: La persona física o jurídica, privada o pública, que realice el tratamiento de los datos personales por cuenta del responsable del tratamiento.
13) Exportador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo situado en territorio dominicano que realice, conforme a lo dispuesto en esta Ley, una transferencia de datos de carácter personal a un país tercero.
14) Fuentes Accesibles al Público: Aquellos archivos de datos personales cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
15) Importador de Datos Personales: Persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
16) Persona Identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
17) Procedimiento de Disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
18) Responsable del Tratamiento: Toda persona, privada o pública, titular del archivo de datos personales que decide la finalidad, el contenido, los medios del tratamiento y el uso de la información obtenida con el tratamiento de los datos personales.
19) Tercero: Persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
20) Transferencia Internacional de Datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la República Dominicana, sin importar el soporte, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del archivo de datos personales establecido en territorio dominicano.
21) Tratamiento de Datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, extracción, grabación, ordenación, conservación, elaboración, almacenamiento, modificación, vinculación, evaluación, consulta, utilización, bloqueo, cancelación o supresión y, en general el procesamiento de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
22) Salario Mínimo: será el salario mínimo nacional más bajo percibido por los trabajadores del sector privado no sectorizado de empresas industriales, comerciales y de servicios, fijado por el Comité Nacional de Salarios del Ministerio de Estado de Trabajo de la República Dominicana.
CAPÍTULO II
.- DISPOSICIONES GENERALES
Sección I.- De los Derechos de las Personas y su Ejercicio
Artículo 7. Impugnación de Valoraciones.
Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
Párrafo I. En caso de que suceda, el afectado tendrá derecho a obtener información del responsable del archivo de datos personales sobre el programa y los criterios de valoración utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
Párrafo II. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.
Artículo 8. Nulidad.
Los actos que resulten contrarios a lo dispuesto en el artículo precedente serán nulos de pleno derecho.
Artículo 9. Derecho de consulta al Registro General de Protección de Datos.
Cualquier persona puede conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal sobre su persona, sus finalidades y la identidad del responsable del tratamiento. El Registro General es de consulta pública y gratuita.
Artículo 10. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Los derechos de acceso, rectificación, cancelación y oposición son personales y son ejercidos por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.
Párrafo I. Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, pueden ser ejercidos por su representante legal, en cuyo caso es necesario que acredite tal condición mediante la aportación de copia de su Cedula de Identidad y Electoral o pasaporte en caso de extranjeros, y la representación conferida por aquél.
Párrafo II. Cuando el responsable del archivo de datos personales sea un órgano de la administración pública o de la administración de justicia, puedeacreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.
Artículo 11. Independencia de los derechos de acceso, rectificación, cancelación y oposición.
Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes. No puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.
Articulo 12. Derecho de Acceso.
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal, obrantes tanto en los archivos de datos personales públicos, como privados, sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
Párrafo. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido a intervalos no inferiores a tres (3) meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercerlo antes.
Artículo 13. Procedimientos de acceso.
La información mencionada en el artículo anterior puede obtenerse mediante los siguientes procedimientos a elección del Interesado:
1) La consulta de los datos por medio de su visualización; o,
2) La indicación de los Datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
Párrafo. La información debe ser suministrada en forma clara, amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales; exentos de codificaciones y en su caso acompañado de una explicación; en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.
Artículo 14. Plazo.
El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de acceso del Interesado en un plazo máximo de diez (10) días laborables a contar desde la recepción de la solicitud de acceso del Interesado. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.
Artículo 15. Derechos de rectificación y cancelación.
Los Interesados tienen derecho a que sean rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos, debiendo en tal caso ser cancelados y sustituidos de oficio por el responsable del archivo de datos personales, por los correspondientes datos rectificados o completados, sin perjuicio de las facultades reconocidas a los afectados.
Párrafo. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del archivo de datos debe bloquear el archivo o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
Artículo 16. Cancelación.
Los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Párrafo I. Reglamentariamente se determina el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Párrafo II. No pueden ser conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Artículo 17. Bloqueo de datos.
La cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de los Poderes del Estado, de la Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. En todo caso, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
Artículo 18. Notificación de rectificación o cancelación.
Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que debe también proceder a la rectificación y cancelación siendo en todo caso el responsable del tratamiento responsable ante la Agencia Dominicana de Protección de Datos y los interesados en caso de que el cesionario no cancele dichos datos de carácter personal, sin perjuicio de las responsabilidades que el responsable del tratamiento pueda repetir en tal cesionario, en su caso.
Artículo 19. Plazo.
El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de rectificación o cancelación del Interesado en el plazo de diez (10) días laborables a contar desde la recepción de la solicitud de rectificación y/o cancelación del Interesado.
Artículo 20. Cancelación.
La cancelación por el Interesado de sus datos de carácter personal no será de aplicación respecto del tratamiento de dichos por el responsable del tratamiento a los exclusivos efectos de ejercer aquellas acciones que en derecho procediesen frente al Interesado o, en su caso, de defenderse ante las acciones ejercitadas por el Interesado. Dichos datos de carácter personal no pueden ser tratados por el responsable del tratamiento más que con la finalidad aquí señalada, siendo eficaz la cancelación respecto a cualquier tratamiento distinto del aquí expresamente mencionado.
Párrafo. El incumplimiento de esta obligación dentro del término referido en este artículo, habilitará al interesado para recabar la tutela de la Agencia Dominicana de Protección de Datos, sin perjuicio de cualquier otra acción que le pueda corresponder.
Artículo 21. Derecho de oposición.
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
1) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.
2) Cuando se trate de archivos de datos personales que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en esta Ley, cualquiera que sea la empresa responsable de su creación.
3) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta, salvo que esté previsto en una Ley, o resulte del marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés.
En tales supuestos, el responsable del archivo de datos personales debe excluir del tratamiento los datos relativos al afectado.
Artículo 22. Ejercicio.
El derecho de oposición se ejerce mediante solicitud dirigida al responsable del tratamiento y el responsable del archivo de datos personales o tratamiento debe excluir del tratamiento los datos relativos al afectado que ejerza su derecho de oposición o denegar motivadamente la solicitud del interesado.
Párrafo. Cuando la oposición se realice con base en el numeral 1 del artículo anterior, en la solicitud deben hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.
Artículo 23. Procedimiento de oposición, acceso, rectificación o cancelación.
Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán claramente establecidos y ampliados reglamentariamente.
Párrafo. La oposición, acceso, rectificación, actualización o cancelación de datos personales inexactos o incompletos que obren en registros públicos o privados debe efectuarse sin cargo alguno para el interesado.
Artículo 24. Tutela de los derechos.
Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Dominicana de Protección de Datos, en la forma que reglamentariamente se determine.
Párrafo. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos la cual debe asegurarse de la procedencia o improcedencia de la denegación.
Artículo 25. Plazo.
El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de tres meses.
Párrafo. Contra las resoluciones de la Agencia Dominicana de Protección de Datos procederá recurso ante el Tribunal Contencioso Tributario y Administrativo.
Artículo 26. Derecho a indemnización.
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tienen derecho a ser indemnizados.
Párrafo I. Cuando se trate de archivos de datos personales de titularidad pública, la responsabilidad se exigirá de acuerdo con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).
Párrafo II. En el caso de los archivos de datos personales de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
Artículo 27. Acción de Hábeas Data.
Sin perjuicio de los mecanismos establecidos para el ejercicio de los derechos de los interesados, éstos podrán ejercer la acción judicial de Hábeas Data de conformidad con lo establecido en la legislación vigente al respecto.
Sección II.- Excepciones a los Derechos de los Afectados
Artículo 28. Excepciones a los derechos de acceso, rectificación cancelación y oposición.
Los responsables de los archivos de datos personales que contengan los datos sobre ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia pueden denegar el acceso, la rectificación, cancelación u oposición en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
Párrafo I. Los responsables de los archivos de datos personales de la Secretaria de Estado de Hacienda pueden, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
Párrafo II. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en el presente artículo puede ponerlo en conocimiento de la Agencia Dominicana de Protección de Datos, la cual debe asegurarse de la procedencia o improcedencia de la denegación.
Artículo 29. Excepciones al requerimiento de consentimiento.
No es preciso el consentimiento cuando los datos de carácter personal se recojan:
1) Para el ejercicio de las funciones propias de los poderes del Estado o de las Administraciones Públicas en el ámbito de sus competencias, o en virtud de una obligación legal.
2) Cuando se refieran a las partes de un contrato o precontrato de una relación comercial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
3) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 8 apartado 6 de la presente Ley.
4) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del archivo de datos personales o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de archivos de datos personales de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
5) Cuando, en el caso de residentes en la República Dominicana, se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria, ocupación, fecha de nacimiento y domicilio.
Párrafo. Si el responsable del tratamiento solicita el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, debe permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
Artículo 30. Otras excepciones a los derechos de los afectados.
Lo dispuesto en la presente Ley sobre Orgánica Protección de Datos de Carácter Personal a los interesados no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de la Administración Pública o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.
Sección III.- Comunicación de Datos
Artículo 31. Comunicación de datos.
Los datos de carácter personal objeto del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
Párrafo. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley y de sus reglamentos de aplicación. El cesionario de los datos responderá solidaria y conjuntamente con el cedente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
Artículo 32. Consentimiento.
El consentimiento exigido en el artículo anterior no es preciso:
1) Cuando la cesión está autorizada en una Ley.
2) Cuando se trate de datos recogidos de fuentes accesibles al público.
3) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de datos personales de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
4) Cuando la comunicación que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias, así como al de los Jueces o Tribunales u otros órganos de la Administración de Justicia en el ejercicio de las funciones.
5) Cuando la cesión se produzca entre entidades de la Administración Pública y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
6) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo de datos personales o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre salud y, en este caso, se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.
7) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
Artículo 33. Nulidad del Consentimiento.
Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
Párrafo. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
Artículo 34. Acceso a los datos por cuenta de terceros.
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Artículo 35. Contrato.
El tratamiento que realice el encargado por cuenta del responsable del tratamiento según lo previsto en el artículo anterior deberá constar en un contrato suscrito entre dicho encargado y el responsable, que cumpla con las siguientes características:
1) Esté formalizado por escrito y contenga las firmas de todas las partes o sus representantes autorizados;
2) Especifique de forma precisa las características de los servicios a realizar por el encargado del tratamiento, en particular, aquellos que se refieran al tratamiento de los datos de carácter personal por cuenta del responsable del tratamiento;
3) Establezca que el encargado del tratamiento sólo tratará los datos de carácter personal de acuerdo con las instrucciones del responsable del tratamiento contenidas en el contrato;
4) Reconozca la responsabilidad del responsable del tratamiento ante los interesados y la Agencia Dominicana de Protección de Datos;
5) Regule que, salvo en el caso que se prevé en la letra (h) de este apartado, el encargado del tratamiento no revelará ni divulgará los datos de carácter personal por ningún motivo distinto del cumplimiento de las instrucciones del responsable del tratamiento mencionadas en la letra (c) de este apartado;
6) Regule que el encargado del tratamiento no llevará a cabo ningún tipo de tratamiento de los datos de carácter personal que no se encuentre expresamente prevista en el contrato;
7) Regule las medidas de seguridad que deberá aplicar el encargado del tratamiento exigidas para el responsable del tratamiento de acuerdo con lo dispuesto en esta Ley; y
8) Prevea que en caso de que el encargado del tratamiento tenga que dar acceso a terceros subcontratistas a los datos de carácter personal, será preciso que dicho acceso se regule en un contrato que cumpla los requisitos previstos en este artículo; en ningún caso, permita realizar un tratamiento de los datos de carácter personal en condiciones menos restrictivas que las previstas en el contrato principal suscrito entre el responsable del tratamiento y el encargado del tratamiento; no otorgue a los subcontratistas mayores prerrogativas que las previstas en dicho contrato; deberá ser revisado y aprobado por el responsable del tratamiento de forma previa a su firma por el encargado del tratamiento.
Párrafo. Una vez cumplida la prestación contractual, los datos de carácter personal deben ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
Artículo 36. Responsabilidad.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
CAPÍTULO III.- DISPOSICIONES ORGANICAS
Sección I.- De la Agencia Dominicana de Protección de Datos
Artículo 37. Naturaleza.
La Agencia Dominicana de Protección de Datos es una institución autónoma y descentralizada con personalidad jurídica, autonomía administrativa, financiera y técnica, rectora de las políticas en materia de protección de datos de carácter personal, que actúa con independencia de la Administración Pública en el ejercicio de sus funciones.
Párrafo. La Agencia Dominicana de Protección de Datos está adscrita al Ministerio de la Presidencia, y bajo la vigilancia del ministro/a de la presidencia.
Artículo 38. Régimen jurídico.
La Agencia Dominicana de Protección de Datos se rige por lo dispuesto en la presente Ley, y en el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus reglamentos, actúa de conformidad con la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008) y sus modificaciones. En sus adquisiciones patrimoniales y contratación estará sujeta a la ley 340-06 de Compras y Contrataciones de Bienes, Servicios, Obras y Concesiones del dieciocho (18) de agosto del año dos mil seis (2006), y sus modificaciones y reglamentos.
Artículo 39. Funciones.
Son funciones de la Agencia Dominicana de Protección de Datos:
1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
3) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones y resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.
4) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
5) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
6) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos de datos personales, cuando no se ajuste a sus disposiciones.
7) Ejercer la potestad sancionadora referida en la presente Ley.
8) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
9) Recabar de los responsables de los archivos de datos personales cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
10)Velar por la publicidad de la existencia de los archivos de datos personales, a cuyo efecto publicará periódicamente una relación de dichos archivos, con la información adicional que el Director de la Agencia determine.
11)Redactar y publicar una memoria anual.
12)Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
13)Velar por el cumplimiento de las disposiciones que la Legislación Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los archivos de datos personales constituidos con fines exclusivamente estadísticos.
14)Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Párrafo I. Las instrucciones y resoluciones de la Agencia Dominicana de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.
Párrafo II. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un archivo de datos personales o su tratamiento en el Registro General de Protección de Datos, ni a aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo.
Artículo 40. Potestad de Inspección.
La Agencia Dominicana de Protección de Datos puede inspeccionar los archivos de datos personales a que hace referencia la presente Ley, recabando cuantas informaciones precise para el cumplimiento de sus cometidos. Puede solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.
Párrafo. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tienen la consideración de autoridad pública en el desempeño de sus cometidos, y estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.
Artículo 41. Director de la Agencia Dominicana de Protección de Datos.
El Director de la Agencia Dominicana de Protección de Datos dirige la Agencia y ostenta su representación. Es designado por el Presidente de la República por un período de cuatro años, ejerciendo sus funciones con plena independencia y objetividad, y no está sujeto a instrucción alguna en el desempeño de aquéllas.
Párrafo. El Director contará con la asistencia de un Consejo Consultivo.
Artículo 42. Cese de Funciones.
El Director de la Agencia Dominicana de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el artículo anterior a petición propia, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por causa afectiva o infamante.
Artículo 43. Incompatibilidades.
El Director de la Agencia Dominicana de Protección de Datos no puede ejercer ningún otro cargo, exceptuando el magisterio, y está sujeto a las demás incompatibilidades fijadas por la ley 41-08 de Función Pública del dieciséis (16) de enero del año dos mil ocho (2008).
Artículo 44. Consejo Consultivo.
El Director de la Agencia Dominicana de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
1) Un representante de la Administración del Estado, designado por el Gobierno.
2) Dos expertos en la materia, propuesto por las Universidades del modo que se prevea reglamentariamente.
3) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.
4) Un representante del sector de archivos de datos personales privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.
Párrafo. El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.
Artículo 45. Personal.
Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos son desempeñados por funcionarios de la Administración Pública y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.
Párrafo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
Artículo 46. Financiación y Presupuesto.
La Agencia Dominicana de Protección de Datos cuenta, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:
1) Las asignaciones que se establezcan anualmente en la Ley de Presupuesto General del Estado.
2) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
3) Cualesquiera otros que legalmente puedan serle atribuidos.
CAPÍTULO IV.- DISPOSICIONES PROCEDIMENTALES
Sección I.- De la Inscripción en el Registro General de Protección de Datos
Artículo 47. Creación.
Se crea el Registro General de Protección de Datos, como base de datos consolidada para los datos de carácter personal tanto de titularidad pública como de titularidad privada que cumplan con las condiciones establecidas en esta Ley.
Párrafo. El Registro General de Protección de Datos es manejado por la Agencia Dominicana de Protección de Datos.
Artículo 48. Inscripción.
Por vía reglamentaria se regulará el procedimiento de inscripción de los archivos de datos personales, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás supuestos pertinentes; comprendiendo como mínimo la siguiente información:
1) Nombre y domicilio del responsable.
2) Características y finalidad del archivo.
3) Naturaleza de los datos personales contenidos en cada archivo.
4) Forma de recolección y actualización de datos.
5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos.
6) Modo de interrelacionar la información registrada.
7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información.
8) Tiempo de conservación de los datos.
9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.
Párrafo. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.
Artículo 49. Documento de seguridad.
El responsable del archivo de datos personales o del tratamiento debe elaborar un documento de seguridad que se regulará reglamentariamente y en el que recogen las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que serán de cumplimiento obligatorio para el personal con acceso a los sistemas de información.
Párrafo. El documento de seguridad puede ser único y contentivo de todos los archivos de datos personales o tratamientos, o bien individualizado para cada archivo de datos personales o tratamiento. También pueden elaborarse distintos documentos de seguridad agrupando archivos de datos personales o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable, distinguiendo las singularidades propias de los archivos de datos personales y tratamientos automatizados y no automatizados. En todo caso, tiene el carácter de documento interno de la organización.
Sección II.- De los Ficheros de Titularidad Pública
Artículo 50. Creación, modificación o supresión.
La creación, modificación o supresión de los archivos de datos personales de la Administración Pública sólo puede hacerse por medio de disposición general publicada en un diario de circulación nacional.
Párrafo I. Las disposiciones de creación o de modificación de archivos de datos personales deberán indicar:
1) La finalidad del archivo de datos personales y los usos previstos para el mismo.
2) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal y el carácter facultativo u obligatorio de su suministro por parte de aquellas.
3) El procedimiento de recogida y actualización de los datos de carácter personal.
4) La estructura básica del archivo de datos personales, automatizado o no, y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
5) Las cesiones de datos de carácter personal y, en su caso, las transferencias e interconexiones de datos que se prevean a países terceros.
6) Los órganos de la Administración responsables del archivo de datos personales, precisando la dependencia jerárquica, en su caso.
7) Los servicios o unidades ante los que pudiesen ejercerse los derechos de acceso, rectificación, cancelación y oposición.
8) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
Párrafo II. Las disposiciones que se dicten para la supresión de los archivos de datos personales deberán establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.
Artículo 51. Comunicación de datos entre Instituciones de la Administración Pública.
Los datos de carácter personal recogidos o elaborados por la Administración Pública para el desempeño de sus atribuciones no pueden ser comunicados a otras Instituciones de la Administración Pública para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Institución Pública obtenga o elabore con destino a otra. En estos casos no será necesario el consentimiento del afectado a que se refiere la presente Ley.
Párrafo I. No obstante lo establecido en la presente Ley, la comunicación de datos entre instituciones de la administración pública recogidos de fuentes accesibles al público no puede efectuarse a archivos de datos personales de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.
Párrafo II. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que debe efectuar a la Administración Tributaria en el ejercicio de sus competencias, conforme a lo dispuesto en su normativa reguladora, no requerirá el consentimiento del afectado.
Sección III.- De los Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia
Artículo 52. Ficheros de las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia.
Los archivos de datos personales creados por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, están sujetos al régimen general de la presente Ley.
Párrafo I. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia, sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos en atención a la prevención de un peligro real, debiendo ser almacenados en archivos de datos personales específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
Párrafo II. La recogida y tratamiento por las Fuerzas Armadas, de Seguridad y Organismos Policiales o de Inteligencia de los datos especialmente protegidos a que hace referencia la presente Ley, pueden realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
Artículo 53. Cancelación.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
Párrafo. Debe considerarse especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.
Sección IV.- De los Ficheros de Titularidad Privada
Artículo 54. Creación de archivos de datos personales de titularidad privada.
Pueden crearse archivos de datos personales de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Los archivos de datos personales de titularidad privada que contengan datos de carácter personal deberán notificarse y registrarse conforme lo previsto en la presente Ley.
Párrafo I. No se registran datos de carácter personal en archivos de datos personales que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
Párrafo II. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los archivos de datos personales y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 8 de esta Ley.
Artículo 55. Notificación.
Toda persona o entidad que proceda a la creación de archivos de datos personales lo notificará previamente a la Agencia Dominicana de Protección de Datos.
Párrafo. Deberán comunicarse a la Agencia Dominicana de Protección de Datos los cambios que se produzcan en la finalidad del archivo de datos personales automatizado, en su responsable y en la dirección de su ubicación.
Artículo 56. Inscripción.
Toda persona o entidad que proceda a la creación de archivos de datos personales debe hacer la correspondiente inscripción del mismo en el Registro General de Protección de Datos, que inscribirá el archivo de datos personales si la notificación se ajusta a los requisitos exigibles. En caso contrario puede pedir que se completen los datos que falten o se proceda a su subsanación.
Párrafo I. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Dominicana de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos personales automatizado a todos los efectos.
Párrafo II. Por vía reglamentaria se procederá a la regulación detallada de los distintos supuestos que debe contener la notificación de la información necesaria para cumplir con las previsiones sobre la información que debe contener el registro, así como información sobre su ubicación, el tipo de datosde carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
Artículo 57. Prestación de servicios automatizados de datos de carácter personal.
Cuando por cuenta de terceros se presten servicios de tratamiento de datos de carácter personal, éstos no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.
Párrafo. Una vez cumplida la prestación contractual, y los supuestos legalmente previstos, dejando a salvo la posible puesta a disposición de las Administración Pública, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades, los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.
Artículo 58. Comunicación de la cesión de datos.
El responsable del archivo de datos personales, en el momento en que se efectúe cualquier cesión de datos, debe informar de ello a los afectados, indicando, asimismo, la finalidad del archivo de datos personales, la naturaleza de los datos que han sido cedidos, el nombre y dirección del cesionario.
Párrafo I. En los supuestos en que se produzca una modificación del responsable del archivo de datos personales como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de comunicar al o los interesados de esta situación.
Párrafo II. La obligación establecida en el párrafo anterior no existirá cuando la cesión venga impuesta por Ley.
Artículo 59. Datos incluidos en las fuentes de acceso público.
Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.
Párrafo. Los interesados tienen derecho a que la entidad responsable del mantenimiento de los listados de los Colegios Profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, así como el derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.
Artículo 60. Plazo.
La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia debe realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.
Artículo 61. Fuentes de acceso público.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico o en formato electrónico pierden el carácter de fuente accesible con la nueva edición que se publique.
Artículo 62. Guías de servicios de telecomunicaciones.
Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica.
Artículo 63. Prestación de servicios de información sobre solvencia patrimonial y crédito.
Los servicios de información sobre la solvencia patrimonial y el crédito que se presten exclusivamente en el ámbito de la República Dominicana, o en los que no exista tratamiento de datos resultado de transferencias de datos a la República Dominicana desde países terceros, se rigen por esta la Ley.
Párrafo I. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito en el ámbito de la República Dominicana y en caso de transferencias de datos a la República Dominicana desde países terceros, sólo pueden tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
Párrafo II. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones pecuniarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en archivos, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.
Párrafo III. Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.
Artículo 64. Naturaleza de los datos.
Sólo se pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos. El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.
Párrafo. En los restantes supuestos, los datos deben ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
Artículo 65. Información.
El acreedor debe informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos legales, los datos relativos al impago podrán ser comunicados a archivos de datos personales relativos al cumplimiento o incumplimiento de obligaciones pecuniarias.
Artículo 66. Derechos de acceso, rectificación o Cancelación.
Cuando el interesado ejerza su derecho de acceso en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia, se tendrán en cuenta las siguientes reglas:
1) Si la solicitud se dirigiera al titular del archivo de datos personales común o Buró de Información Crediticia, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el archivo. En este caso, el titular del archivo de datos personales común o Buró de Información Crediticia deberá, además de dar cumplimiento a lo establecido en la legislación aplicable, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses, el nombre y dirección de los cesionarios.
2) Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, ésta deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para que pueda completar el ejercicio de su derecho de acceso.
Párrafo. Cuando el interesado ejerza sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un archivo de datos personales común de información sobre solvencia patrimonial y crédito o Buró de Información Crediticia se tendrán en cuenta las siguientes reglas:
1) Si la solicitud se dirige al titular del archivo de datos personales común o Buró de Información Crediticia, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del archivo de datos personales común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.
2) Si la solicitud se dirige a quien haya facilitado los datos al archivo de datos personales común o Buró de Información Crediticia procederá a la rectificación o cancelación de los mismos en sus archivos y a notificarlo al titular del archivo de datos personales común en el plazo de cinco días laborables, dando asimismo respuesta al interesado.
3) Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al archivo de datos personales común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de cinco días laborables, proporcionándole, además, la identidad y dirección del titular del archivo de datos personales común o Buró de Información Crediticia para, que en su caso, puedan ejercer sus derechos ante el mismo.
Artículo 67. Archivos de datos personales comunes que contengan datos de carácter personal establecidos por las entidades aseguradoras.
Las entidades aseguradoras pueden establecer archivos de datos personales comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados archivos de datos personales no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales en archivos comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercer los derechos de acceso, rectificación y cancelación previstos en la Ley.
Párrafo. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.
Artículo 68. Tratamientos con fines de publicidad y de prospección comercial.
Queda expresamente prohibida la remisión, directa o indirectamente, de publicidad cuya recepción no haya sido solicitada o consentida expresamente por el interesado receptor de la misma.
Párrafo I. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas sólo pueden utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público, o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.
Párrafo II. Cuando los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al interesado debe ser informado del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. Dicha comunicación debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
Párrafo III. Los interesados tienen derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad pueden conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.
Artículo 69. Archivos de datos personales relativos a las encuestas.
Las normas de la presente ley no se aplican a las encuestas de opinión, mediciones y estadísticas relevantes, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.
Párrafo. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.
Artículo 70. Códigos tipo.
Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.
Párrafo I. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación, y en el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.
Párrafo II. Los códigos tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Dominicana de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.
Artículo 71. Códigos de conducta.
Las asociaciones o entidades representativas de responsables o usuarios de archivos de datos personales de titularidad privada pueden elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personalesque tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.
Párrafo. Dichos códigos deben ser inscritos en el Registro General de Protección de que lleva la Agencia Dominicana de Protección de Datos, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.
Sección V.- Otros Datos
Sub-Sección I.- Datos Especialmente Protegidos
Artículo 72. Datos especialmente protegidos.
Ninguna persona puede ser obligada a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se debe advertir al interesado acerca de su derecho a no prestarlo.
Párrafo I. Quedan prohibidos los archivos de datos personales creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Artículo 73. Consentimiento.
Sólo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento los datos de carácter personal que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Párrafo. Se exceptúan los archivos de datos personales mantenidos por los partidos políticos, sindicatos, iglesias o comunidades religiosas y asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Artículo 74. Excepción.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente, o cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Artículo 75. Datos de infracciones penales.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de datos personales de la Administración Pública competente en los supuestos previstos en las normas reguladoras.
Sub-Sección II.- Datos Relativos a la Salud
Artículo 76. Datos relativos a la salud.
Sin perjuicio de lo establecido en la presente ley respecto de la cesión de datos, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes pueden proceder al tratamiento de los datos de carácter personal relativos a la salud física o mental de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación dominicana sobre salud.
Párrafo. No obstante lo dispuesto sobre datos especialmente protegidos, pueden ser objeto de tratamiento los datos de carácter personal que se refieren al origen racial, a la salud y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
Sub-Sección III.- Tratamiento de Datos de Menores de Edad
Artículo 77. Tratamiento de datos de menores de edad.
Puede procederse al tratamiento de los datos de los mayores de dieciséis (16) años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de dieciséis (16) años se requerirá el consentimiento de los padres o tutores.
Párrafo I. En ningún caso puede recabarse del menor de edad datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
Párrafo II. Cuando el tratamiento se refiera a datos de menores de dieciséis (16) años de edad, la información dirigida a los mismos debe expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
Párrafo III. Corresponde al responsable del archivo de datos personales o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.
Sección VI.- Movimiento Internacional de Datos
Artículo 78. Representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la República Dominicana y utilice en el tratamiento de datos medios situados en territorio dominicano, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en la República Dominicana, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Párrafo I. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
Párrafo II. Reglamentariamente se establecerán los casos en los que por utilizarse medios para el tratamiento de datos situados en la República Dominicana y utilizarse los mismos únicamente con fines de tránsito, el responsable del tratamiento no establecido en territorio de la República podrá ser eximido de designar un representante en la misma.
Artículo 79. Norma general.
No pueden realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países, u organismos internacionales o supranacionales, que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa de la Agencia Dominicana de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En todo caso, la transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley y deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos.
Párrafo I. El carácter adecuado del nivel de protección que ofrece el país de destino es evaluado por la Agencia Dominicana de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.
Párrafo II. La Agencia Dominicana de Protección de Datos acordará la publicación de la relación de países cuyo nivel de protección haya sido considerado equiparable conforme a lo dispuesto en el apartado anterior y mantendrá actualizado dicho listado a través de medios informáticos o telemáticos.
Artículo 80. Autorización.
Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado o no se haya considerado por la Agencia Dominicana de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización de la Agencia Dominicana de Protección de Datos.
Párrafo. La autorización podrá ser otorgada en caso de que el responsable del archivo de datos personales o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías establecidas en la presente ley y sus reglamentos.
Artículo 81. Suspensión temporal de transferencia de datos.
La Agencia Dominicana de Protección de Datos puede acordar, previa audiencia con el exportador, la suspensión temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes:
1) Que las autoridades de Protección de Datos del Estado importador o cualquier otra competente, en caso de no existir las primeras, resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.
2) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia Dominicana de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.
Artículo 82. Excepciones.
Lo dispuesto en los artículos anteriores no será de aplicación:
1) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte la República Dominicana.
2) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
3) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.
4) Cuando se refiera a transferencias pecuniarias conforme a su legislación específica.
5) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
6) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del archivo de datos personales o para la adopción de medidas precontractuales adoptadas a petición del afectado.
7) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del archivo de datos personales y un tercero.
8) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración Fiscal o Aduanera para el cumplimiento de sus competencias.
9) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
10) Cuando la transferencia se efectúe, a petición de una persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
11) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
CAPÍTULO V.- DISPOSICIONES DE INFRACCIONES Y SANCIONES
Artículo 83. Responsables.
La Agencia Dominicana de Protección de Datos puede aplicar el régimen sancionador administrativo establecido en la presente Ley a los responsables de los archivos de datos personales y, en general, a los encargados de los tratamientos, sin perjuicio de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.
Artículo 84. Tipos de infracciones y sus sanciones.
Las infracciones se califican de la siguiente manera y tendrán las sanciones siguientes:
1) Sanciones leves, cuya comisión será sancionada con multa de uno (1) a veinte (20) salarios mínimos.
2) Sanciones graves, cuya comisión será sancionada con multa de veinte (20) a cuarenta (40) salarios mínimos.
3) Sanciones muy graves, cuya comisión será sancionada con multa de cuarenta (40) a sesenta (60) salarios mínimos.
Párrafo I. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Párrafo II. Si en razón de las circunstancias concurrentes, se aprecia una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, la Agencia Dominicana de Protección de Datos establecerá lacuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
Párrafo III. En ningún caso podrá imponerse una sanción más grave que la fijada en ésta Ley para la clase de infracción en la que se constituya la que se pretenda sancionar.
Artículo 85. Infracciones leves.
Son infracciones leves:
1) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
2) No proporcionar la información que solicite la Agencia Dominicana de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
3) No solicitar la inscripción del archivo de datos personales en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
4) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles las informaciones que señala la presente Ley.
5) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.
Artículo 86. Infracciones graves.
Son infracciones graves:
1) Proceder a la creación de archivos de datos personales de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada de acuerdo a lo establecido en la presente Ley.
2) Proceder a la creación de archivos de datos personales de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
3) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
4) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
5) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
6) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
7) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a los archivos de datos personales que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros archivos de datos personales que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
8) Mantener los archivos de datos personales, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
9) No remitir a la Agencia Dominicana de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
10) La obstrucción al ejercicio de la función inspectora.
11)No inscribir los archivos de datos personales en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Dominicana de Protección de Datos.
12) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Artículo 87. Infracciones muy graves.
Son infracciones muy graves:
1) La recogida de datos en forma engañosa y fraudulenta.
2) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
3) Recabar y tratar los datos de carácter personal especialmente protegidos a los que se refiere esta Ley cuando no medie el consentimiento expreso del afectado, cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición de crear archivos de datos personales con la finalidad exclusiva de almacenar datos de carácter personal especialmente protegidos.
4) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Dominicana de Protección de Datos o por las personas titulares del derecho de acceso.
5) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Dominicana de Protección de Datos.
6) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
7) La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hace referencia la presente Ley, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
8) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
9) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo de datos personales.
10) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando la Agencia Dominicana de Protección de Datos lo ordene.
Artículo 88. Infracciones de la Administración Pública.
Cuando las infracciones a que se refiere el presente Capítulo fuesen cometidas en archivos de datos personales de los que sean responsabilidad de la Administración Pública, el Director de la Agencia Dominicana de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo de datos personales, al órgano del quedependa jerárquicamente y a los afectados si los hubiera.
Párrafo I. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de la ley 41-08 de Función Pública.
Párrafo II. Se deben comunicar a la Agencia Dominicana de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el presente artículo.
Artículo 89. Plazos de prescripción.
Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año, comenzando a contarse dichos plazos desde el día en que el titular de la información tiene conocimiento de la vulneración.
Párrafo. Interrumpe la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Artículo 90. Procedimiento sancionador.
Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título.
Los procedimientos sancionadores tramitados por la Agencia Dominicana de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes tendrán una duración máxima de seis meses.
Párrafo. Las resoluciones de la Agencia Dominicana de Protección de Datos dictadas en ocasión de un proceso sancionador agotan la vía administrativa.
Artículo 91. Potestad de inmovilización de archivos de datos personales.
En los supuestos constitutivos de infracción muy graves, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que las leyes garantizan, el Director de la Agencia Dominicana de Protección de Datos puede, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos personales, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Dominicana de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.
CAPÍTULO VI.- DISPOSICIONES TRANSITORIAS, MODIFICATORIAS Y FINALES
Sección I.- Disposiciones Transitorias
Artículo 92. Tratamientos creados por Convenios Internacionales.
La Agencia Dominicana de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte la República Dominicana que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio.
Sección II.- Disposiciones Modificatorias
Artículo 93.
Se modifica el artículo 19, parte in fine, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
“Artículo 19.- Los consumidores tendrán derecho a solicitar de los BICs sus reportes de crédito, a través de las unidades especializadas de los BICs. Dichas unidades estarán obligadas a tramitar las solicitudes presentadas por los consumidores de manera gratuita.”
Artículo. 94.
Se modifica el párrafo I del artículo 19, de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
“Párrafo I.- El BIC deberá presentar el reporte de crédito solicitado en forma clara, completa y accesible, de tal manera que se explique por sí mismo, y deberá ponerlo a disposición del consumidor en un plazo no mayor de diez (10) días hábiles, contados a partir de la fecha en que BIC hubiera recibido la solicitud correspondiente.”
Artículo. 95.
Se modifica el artículo 22 de la Ley 288-05 sobre Sociedades de Intermediación Crediticia y Protección al Titular de la Información, del dieciocho (18) de agosto del año dos mil cinco (2005), para que en lo adelante se lea de la siguiente manera:
“Artículo 22.- Si las unidades especializadas de las Entidades de Intermediación Financiera, o en el caso de Agentes Económicos, de quienes designen como responsables para esos efectos, no hacen llegar al BIC su respuesta a la reclamación presentada por el cliente o consumidor dentro de un plazo de siete (7) días hábiles, contados a partir de que hayan recibido la notificación de la reclamación, el BIC deberá modificar o eliminar de su base de datos la información que conste en el registro de que se trate, según le haya solicitado el cliente o consumidor, así como la leyenda: “Registro Impugnado”.
Sección III.- Disposiciones Finales
Artículo 96. Archivos de datos personales y Registro de Población de la Administración Pública.
La Administración Pública puede solicitar a la Junta Central Electoral, sin consentimiento del interesado, una copia actualizada del archivo de datos personales formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en las oficialías de Estado Civil y los padrones electorales correspondientes para la creación de archivos de datos personales o registros de población, teniendo siempre estos archivos o registros como finalidad la comunicación de los distintos órganos de la administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas de la Administración Pública.
Artículo 97.
Los archivos de datos personales de los prestadores de servicios de información crediticia deberán suprimir, o en su caso, omitir asentar, todo dato referido al incumplimiento o mora en el pago de una obligación, si ésta hubiere sido cancelada al momento de la entrada en vigencia de la presente ley.
Artículo 98. Archivos de datos personales preexistentes.
Los archivos de datos personales y tratamientos automatizados, tanto los no inscritos, como los inscritos desde la entrada en vigor de la Ley, en el Registro General de Protección de Datos deberán adecuarse y cumplir con la presente Ley dentro del plazo de dos años, a contar desde su entrada en vigor. En dicho plazo, los archivos de datos personales de titularidad privada deberán ser comunicados a la Agencia Dominicana de Protección de Datos y los archivos de datos personales de titularidad pública, deberán aprobar la pertinente disposición de regulación del archivo de datos personales o adaptar la existente.
Párrafo I. En el supuesto de archivos de datos personales y tratamientos no automatizados, su adecuación a la presente Ley y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de tres años a contar desde la entrada en vigencia de la presente Ley, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.
Párrafo II. En caso de transferencias de datos a la República Dominicana desde países terceros, los responsables o encargados del archivo de datos personales o su tratamiento deberán adecuarse y cumplir con la presente Ley dentro del plazo de un año a contar desde su entrada en vigor.
Artículo 99. Reglamentación.
La Agencia Dominicana de Protección de Datos elaborará el reglamento necesario para la aplicación y desarrollo de la presente ley y el Poder Ejecutivo lo dictará dentro de los noventa (90) días después de su entrada en vigencia.
Artículo 100. Entrada en vigencia.
La presente Ley entra en vigencia después de su promulgación y publicación conforme a la Constitución de la República y transcurridos los plazos fijados en el Código Civil Dominicano.
Félix Bautista
, Senador Provincia San Juan