Reglamento núm. 8568 de 27 de febrero de 2015

Reglamento núm. 8568 de 27 de febrero de 2015, Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos, según Recopilados en Puerto Rico

Artículo 1.- Base Legal

El presente Reglamento se adopta de conformidad a los poderes y facultades conferidas al Departamento de Asuntos del Consumidor por la Ley núm. 170 de 12 de agosto de 1988, según enmendada y la Ley núm. 39, de 24 de enero de 2012.

 

Artículo 2.-  Propósito

Este conjunto de reglas se adopta con el propósito de establecer las normas que habrán de regir la manera en que todo comercio publicará sus políticas de privacidad, referentes a la información sobre datos personales de sus consumidores o clientes que recopile como parte de sus transacciones comerciales cibernéticas. El Departamento de Asuntos del Consumidor velará por la implementación y fiscalización de estas normas.

 

Artículo 3.- Alcance y aplicación

Este Reglamento aplicará a todo comercio registrado en el Estado Libre Asociados de Puerto Rico, y/o que haga negocios en Puerto Rico a través de la internet.

 

Artículo 4.- Interpretación

a) Este Reglamento deberá interpretarse liberalmente a favor del consumidor y con el ánimo de cumplir con los mandatos de la Ley núm. 39, supra y de la Ley núm. 5, supra.

b) En el caso de que alguna ley, reglamento o disposición federal sobre manejo de información personal sea de aplicación a alguna industria o entidad en específico, este Reglamento se interpretará de manera consistentemente con dicha ley, reglamento o disposición federal.

c) En caso de discrepancia entre el texto original en español y su traducción al inglés, prevalecerá el texto en español.

d) Las palabras y frases utilizadas en este Reglamento se interpretaran según el contexto en que sean utilizadas y tendrán el significado sancionado por el uso común y corriente del idioma.

e) En los casos aplicables, las palabras utilizadas en el tiempo presente incluyen también el futuro; las utilizadas en el género masculino incluyen el femenino; el singular incluye el plural y el plural incluye el singular.

 

Artículo 5.- Definiciones

Para propósitos de este Reglamento y de los anejos u órdenes administrativas que se aprueben en virtud del mismo, las siguientes palabras o términos, tendrán los significados que a continuación se expresan, excepto donde el contexto claramente exprese otra cosa:

a) “Comercio”.- Establecimiento comercial donde se llevan a cabo transacciones comerciales sobre bienes y servicios con personas que los adquieren para su uso o disposición personal sin ánimo de reventa. El término Comercio incluye, cuando sea apropiado, al Operador de Página de Internet según definido en este Reglamento.

b) “Departamento”.- Departamento de Asuntos del Consumidor

c) “Información Personal”.- significa cualquier nombre o número que pueda utilizarse, por sí mismo o junto con cualquier otra información, para identificar a un individuo en específico, incluyendo, pero sin limitarse, a:

* Nombre y apellidos;

* Número de seguro social;

* Fecha y/o lugar de nacimiento;

* Estado civil;

* Género;

* Dirección física o postal;

* Código Postal;

* Dirección de correo electrónico;

* Número de teléfono;

* Número de licencia de conducir;

* Número de pasaporte;

* Huella(s) dactilar(es);

* Grabaciones de voz;

* Imágenes de retina; y

* Cualquier otra información que permita identificar, física o electrónicamente, a una persona natural.

d) “Internet”.- Es la Red Mundial de Comunicaciones que conecta computadoras alrededor del mundo. Esta red de comunicaciones permite al usuario conectarse a miles de computadoras y acceder su información.

e) “Ley”.- Ley núm. 39 del 24 de enero de 2012 y sus enmiendas prospectivas

f) “Operadores de páginas”.- significa cualquier persona natural o jurídica residente o que haga negocios en o desde Puerto Rico que sea dueña y/u operadora de una página localizada en Internet o de cualquier servicio en línea que se encuentre dirigido principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que por cualquier medio recopile y/o conserve información personal de usuarios residentes de Puerto Rico. Esta definición excluye a los proveedores de servicio de Internet que no sean dueños y/u operadores de las páginas en cuestión.

g) “Personal que recopila información personal”.- significa cualquier persona natural o jurídica que incurra en actividades comerciales dirigidas principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que en el curso de dichas actividades, por cualquier medio recopile y/o conserve información personal de residentes de Puerto Rico.

h) “Política de Privacidad”.- significa un documento que describa las prácticas de recopilación, manejo y disposición de Información Personal.

i) “Secretario”.- Secretario del Departamento de Asuntos del Consumidor.

j) “usuarios”.- cualquier persona natural que acceda a una página de Internet o servicio en línea operado por una persona o entidad residente en Puerto Rico que recopile y/o conserve información personal.

 

Artículo 6.- Normas generales sobre publicación de política de privacidad

a) Todo Comercio incluirá en su página de Internet un enlace en donde el Consumidor pueda accesar y conocer su Política de Privacidad, en cuanto a la información personal de éste, que el Comercio levante y/o

 

b) Toda política de privacidad deberá contener como mínimo lo siguiente:

1) Nombre del Comercio;

2) Que tipo de datos personales de los Consumidores estarán siendo recopilados por el Comercio;

3) Cuál es la política de divulgación de la Información Personal recopilada y bajo qué circunstancias será ésta compartida con terceros;

4) Método disponible a los Consumidores para que éstos puedan conocer enmiendas realizadas a la Política de Privacidad de un Comercio, con posterioridad a la divulgación original de su Política Pública.

5) Fecha en que dichas enmiendas a la política de privacidad entrarían en vigor.

6) Como la página de internet, responde a señales de “Do Not Track”.

7) Si terceros, pueden recopilar información personal sobre las actividades en línea del consumidor, en diferentes páginas de internet.

 

c) El Comercio tendrá la opción de diseñar su propia política de privacidad basada en los criterios dispuestos en el Artículo 6 b), o podrá escoger de entre tres (3) categorías de protección de la Información Personal; Nivel I, Nivel II y Nivel III, para denominar su Política de Privacidad.

 

d) Si el comercio u operador de página, opta por utilizar uno de los tres modelos contenidos en los apéndices de este Reglamento, deberá cumplir con todos los criterios correspondientes a dicho modelo y utilizará el correspondiente logo.

 

Artículo 7.- Requerimientos de información e investigación.

El Secretario está facultado para, en el ejercicio de sus deberes, requerir información a toda Persona que Recopile Información Personal. Esto incluye pero no se limita a cursar requerimientos de información, citar testigos, tomar juramentos y declaraciones. En cumplimiento de estas disposiciones, podrá extender citaciones bajo apercibimiento y obligar la comparecencia de testigos. Además, como parte de sus facultades podrá requerir que se le presenten libros, cartas, documentos, recibos, expedientes, fotos y cualquier otro artículo que considere esencial para establecer que el investigado en efecto ha cumplido con su obligación en ley, de publicar su Política de Privacidad.

En caso de rebeldía o negativa a obedecer una citación expedida por el Secretario o cualquier funcionario designado por éste, cualquier sala del Tribunal General de Justicia podrá, a solicitud del Secretario, expedir una orden contra dicha persona, requiriéndole comparecer ante el Secretario o ante el funcionario designado por éste, para presentar evidencia si así se ordenare o para declarar sobre el asunto bajo investigación. Dicha persona incurrirá en desacato si desobedeciere la orden del tribunal.

 

Artículo 8.- Penalidades

En caso de que un Operador de Páginas o una Persona que Recopila Información Personal incurra en la práctica de divulgar una Política de Privacidad que no corresponda a la realidad de sus prácticas de manejo de información personal; o incurra en la práctica de divulgar un símbolo, o logo, no autorizado; o que no corresponda a la realidad de sus prácticas de manejo de información personal, se incurrirá en una infracción administrativa que estará sujeta a una multa de hasta un máximo de cincuenta mil dólares ($50.000).

Cualquier otra violación a lo dispuesto por este Reglamento estará sujeta a multas administrativas  de hasta diez mil dólares ($10.000) por cada ocurrencia. Se considerará que se configura una ocurrencia separada y distinta por cada día en que un Comercio no cumpla con su obligación de divulgar una Política de Privacidad, según requerido por este Reglamento.

 

Artículo 9.- Interpretación Oficial

Cualquier parte interesada que desee una interpretación oficial de algún artículo o parte de este Reglamento deberá solicitarla por escrito al Secretario, quien podrá emitir dichas decisiones. En la petición se deberá indicar el Artículo o parte cuya interpretación interesa y especificar las dudas que al respecto tenga.

 

Artículo 10.- Separabilidad

Si cualquier disposición de este Reglamento fuere declarada nula por un tribunal competente, dicha determinación no afectará las disposiciones no contenidas en la sentencia del tribunal, las cuales continuarán en pleno vigor y efecto.

 

Artículo 11.- Disposición Transitoria

Una vez aprobado y registrado este Reglamento, el Secretario emitirá cualesquiera órdenes transitorias, que incluirán, pero no limitarán, a disponer el orden de las áreas geográficas en que se establecerán los cambios, visitar las Personas que Recopilan Información Personal y tomar cualquier otra provisión que estime prudente.

Esto es a fin de permitir el cumplimiento de lo dispuesto en este Reglamento para las personas cuyas actividades comerciales se vean afectadas por el mismo, promover una transición ordenada para regular el proceso de su implantación y de utilizar efectivamente los recursos y funcionarios del Departamento.

 

Artículo 12.- Vigencia

Este Reglamento entrará en vigor a los ciento veinte (120) días de haber sido aprobado por el Secretario del Departamento de Asuntos del Consumidor, a tenor con lo dispuesto en la Ley núm. 39, de 24 de enero de 2012.

 

En San Juan, Puerto Rico, a 27 de febrero de 2015

 

APÉNDICE  I.- SOBRE POLÍTICA DE PRIVACIDAD NIVEL I

Si un comercio opta por utilizar el modelo y logo de la Política de Privacidad Nivel I, deberá cumplir con todos y cada uno de los requisitos que se listan a continuación:

  1. Una descripción detallada de qué información personal se recopila;
  2. Una advertencia conspicua y en lenguaje sencillo, que establezca que el Comercio se reserva el derecho a divulgar o compartir la información personal recopilada
  3. Una descripción de los tipos de entidades con quienes el comercio comparte la información personal recopilada y bajo qué circunstancias será ésta compartida;
  4. El procedimiento disponible, si alguno, para que el consumidor pueda enmendar o solicitar la eliminación de información personal recopilada;
  5. Un enlace o dirección cibernética en la que el Consumidor pueda accesar, leer y estudiar el texto completo de lo que constituye la Política de Privacidad del Comercio;
  6. El procedimiento mediante el cual el comercio le informará a los consumidores sobre los cambios a su política de privacidad;
  7. En caso de que el comercio efectúe cambios a su política de privacidad, la fecha en que la misma entrará en efecto;
  8. Como la página de internet, responde a señales de “Do not Track”;
  9. Si terceros pueden recopilar información personal sobre las actividades en línea del consumidor, en diferente páginas de internet;
  10. Para ser acreedor del status de Política de Privacidad Nivel I, el Comercio tendrá la obligación de notificar al DACO sobre cualquier enmienda a su Política de Privacidad que tenga como consecuencia que el Comercio deje de cumplir con cualquiera de los incisos anteriores del presente Apéndice I;
  11. Los cambios a la Política de Privacidad que tengan el efecto de que el Comercio deje de cumplir con cualquiera de los incisos del presente Apéndice I, tendrán que ser notificados al DACO dentro de los treinta (30) días de haber comenzada la vigencia de la enmienda que tenga tal efecto.
  12. El incumplimiento con el inciso (i) que precede, dará lugar a que se entienda que la Política de Privacidad publicada, es una engañosa, con la consecuencia de la imposición de multas a tenor con el Artículo 8 del Reglamento al que la presente le sirve de Apéndice I.

 

APÉNDICE II.- SOBRE POLÍTICA DE PRIVACIDAD NIVEL II

Si un comercio opta por utilizar el modelo y logo de la Política de Privacidad Nivel II, deberá cumplir con todos y cada uno de los requisitos que se listan a continuación:

  1. Una descripción detallada de qué información personal se recopila
  2. Una advertencia conspicua y en lenguaje sencillo, que establezca si el comercio se reserva el derecho a divulgar o compartir la información personal recopilada.
  3. Una descripción de los tipos de entidades con quienes el comercio comparte la información personal recopilada y bajo qué circunstancias será ésta compartida;
  4. Una descripción detallada de los grupos, entidades o individuos a quienes el comercio NO le habrá de divulgar o compartir la información personal recopilada.
  5. El procedimiento disponible, si alguno, para que el consumidor pueda enmendar o solicitar la eliminación de información personal recopilada.
  6. Un enlace o dirección cibernética en la que el Consumidor pueda accesar, leer y estudiar el texto completo de lo que constituye la Política de Privacidad del Comercio;
  7. El procedimiento mediante el cual el comercio le informará a los consumidores sobre los cambios a su política de privacidad;
  8. En caso de que el comercio efectúe cambios a su política de privacidad, la fecha en que la misma entrará en efecto;
  9. Como la página de internet, responde a señales de “Do Not Track”.
  10. Si terceros, pueden recopilar información personal sobre las actividades en línea del consumidor, en diferentes páginas de internet.
  11. Para ser acreedor del status de Política de Privacidad Nivel I, el comercio tendrá la obligación de notificar al DACO sobre cualquier enmienda a su Política de Privacidad Nivel I, el comercio tendrá la obligación de notificar al DACO sobre cualquier enmienda a su Política de Privacidad que tenga como consecuencia que el comercio deje de cumplir con cualquiera de los incisos anteriores del presente Apéndice II.
  12. Los cambios a la Política de Privacidad que tengan el efecto de que el comercio deje de cumplir con cualquiera de los incisos del presente Apéndice II, tendrán que ser notificados al DACO dentro de los treinta (30) días de haber comenzado la vigencia de la enmienda que tenga tal efecto.
  13. El incumplimiento con el inciso (l) que precede, dará lugar a que se entienda que la Política de Privacidad publicada, es una engañosa, con la consecuencia de la imposición de multas a tenor con el Artículo 8 del Reglamento al que la presente le sirve de Apéndice II.

 

APÉNDICE III.- SOBRE POLÍTICA DE PRIVACIDAD NIVEL III

Si un comercio opta por utilizar el modelo y logo de la Política de Privacidad Nivel III, deberá cumplir con todos y cada uno de los requisitos que se listan a continuación:

  1. Una descripción detallada de qué información personal se recopila;
  2. Una advertencia conspicua y en lenguaje sencillo, que establezca si el comercio se reserva el derecho a divulgar o compartir la información personal recopilada.
  3. Una descripción de los tipos de entidades con quienes el comercio comparte la información personal recopilada y bajo qué circunstancias será ésta compartida;
  4. Una descripción detallada de los grupos, entidades o individuos a quienes el comercio NO le habrá de divulgar o compartir la información personal recopilada.
  5. El procedimiento disponible, si alguno, para que el consumidor pueda enmendar o solicitar la eliminación de información personal recopilada;
  6. El procedimiento a seguir para que el consumidor que interese pedir que el comercio divulgue toda o parte de su información personal, pueda hacerlo.
  7. Un enlace o dirección cibernética en la que el Consumidor pueda accesar, leer y estudiar el texto completo de lo que constituye la Política de Privacidad del Comercio;
  8. El procedimiento mediante el cual el comercio le informará a los consumidores sobre los cambios a su política de privacidad;
  9. En caso de que el comercio efectúe cambios a su política de privacidad, la fecha en que la misma entrará en efecto;
  10. Como la página en internet, responde a señales de “Do Not Track”.
  11. Si terceros, pueden recopilar información personal sobre las actividades en línea del consumidor, en diferentes páginas de internet.
  12. Una Certificación expresa de cumplimiento por parte del comercio con las disposiciones del Children`s Online Privacy Protection Act del 1968 y su correspondiente Reglamento según implantado en 1999, por la Federal Trade Comission, para regular la recopilación de información de niños menores de trece (13) años de edad;
  13. Para ser acreedor del status de Política de Privacidad Nivel III, el comercio tendrá la obligación de notificar al DACO sobre cualquier enmienda a su Política de Privacidad que tenga como consecuencia que el comercio deje de cumplir con cualquiera de los incisos anteriores del presente Apéndice III.
  14. Los cambios a la Política de Privacidad que tengan el efecto de que el comercio deje de cumplir con cualquiera de los incisos del presente Apéndice III, tendrán que ser notificados al DACO dentro de los treinta (30) días de haber comenzada la vigencia de la enmienda que tenga tal efecto.
  15. El incumplimiento con el inciso (n) que precede, dará lugar a que se entienda que la Política de Privacidad publicada, es una engañosa, con la consecuencia de la imposición de multas a tenor con el Artículo 8 del Reglamento al que la presente le sirve de Apéndice III.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *