Ley 149 de 2022 de protección de datos personales, de 14 de mayo de 2022  (Gaceta Oficial nº 90 Ordinaria de 25 de agosto de 2022) 

ASAMBLEA NACIONAL DEL PODER POPULAR

GOC-2022-832-O90

JUAN ESTEBAN LAZO HERNÁNDEZ, Presidente de la Asamblea Nacional del Poder Popular de la República de Cuba.

HAGO SABER: Que la Asamblea Nacional del Poder Popular, en la sesión del día 14 de mayo de 2022, correspondiente al Quinto Período Extraordinario de Sesiones de la IX Legislatura, ha aprobado lo siguiente:

POR CUANTO: La Constitución de la República, en su Artículo 40, establece que la dignidad humana es el valor supremo que sustenta el reconocimiento y ejercicio de los derechos y deberes consagrados en la misma, y en su Artículo 48 que todas las personas tienen derecho a que se les respete su intimidad personal y familiar, su propia imagen y voz, su honor e identidad personal.

POR CUANTO: La Constitución, en su Artículo 97, reconoce el derecho de toda persona de acceder a sus datos personales en registros, archivos u otras bases de datos e información de carácter público, así como a interesar su no divulgación y obtener su debida corrección, rectificación, modificación, actualización o cancelación, y que el uso y tratamiento de estos datos se realice de conformidad con lo establecido en la ley.

POR CUANTO: Los avances tecnológicos, y en especial el entorno digital, impactan la vida económica, política y social de las personas, en particular, el disfrute de sus derechos, lo que se manifiesta en nuestra sociedad.

POR CUANTO: La existencia de registros, archivos, bases de datos u otros medios de carácter público o privado, físico o digital, por medio de los cuales se almacena, tramita, brinda y se utiliza la información personal, así como el libre acceso a estos datos, puede vulnerar el derecho de su titular y otros derechos con los que se relaciona, de no regularse adecuadamente.

POR CUANTO: Resulta necesario aprobar una disposición normativa que garantice el derecho de las personas a la protección de sus datos personales, que regule el uso y tratamiento de estos por parte de las personas o entidades públicas y privadas, así como de la información de carácter público, y contribuya a promover, fomentar y difundir una cultura sobre su protección en la sociedad.

POR TANTO: La Asamblea Nacional del Poder Popular, en el ejercicio de las atribuciones que le están conferidas en el inciso c) del Artículo 108 de la Constitución de la República, ha adoptado la siguiente:

LEY nº 149 DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I.- DISPOSICIONES GENERALES

SECCIÓN PRIMERA.- Disposiciones preliminares

Artículo 1.

La presente Ley tiene por objeto lo siguiente:

a) Establecer los principios, procedimientos y definiciones fundamentales para garantizar a la persona natural el derecho a la protección de sus datos personales que consten en registros, ficheros, archivos, bases de datos u otros medios técnicos de tratamiento de datos, sean físicos o digitales, de carácter público o privado;

b) velar por el debido respeto a la intimidad personal y familiar, la propia imagen y voz, honor e identidad personal;

c) regular el uso y efectivo tratamiento de los datos personales e información pública por parte de las personas o entidades públicas y privadas responsables o encargadas de estos; y

d) contribuir a promover, fomentar y difundir una cultura sobre su protección en la sociedad.

Artículo 2.

Son sujetos de aplicación de la presente Ley las personas naturales respecto a sus datos, y las personas jurídicas y naturales, en cuanto al tratamiento de datos personales que realicen.

Artículo 3.

1. Se consideran datos personales la información concerniente a una persona natural, identificada o identificable, que pueden llevar a su identidad.

2. Una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información.

Artículo 4.

Son protegidos los datos personales relacionados con el sexo, edad, imagen, voz, género, identidad, identidad de género, orientación sexual, color de la piel, origen étnico, nacional y territorial, condición y clasificación migratoria, situación de discapacidad, creencias religiosas, filiación política, estado civil, domicilio, datos médicos o de salud, económico-financieros, académicos y de formación, profesionales y de empleo, judiciales y administrativos, y cualquier información relacionada con estos datos que pueden llevar a la identificación de una determinada persona, recopilados a partir de registros, ficheros, archivos y bases de datos.

Artículo 5.

Se considera registro, fichero, archivo y base de datos, indistintamente, al conjunto organizado de datos personales que son objeto de tratamiento o procesamiento, electrónico o no, cualquiera sea la modalidad de su formación, almacenamiento, organización y acceso.

Artículo 6.

El tratamiento de datos personales consiste en las operaciones y procedimientos sistemáticos, electrónicos o no, que permiten la recolección, conservación, ordenamiento, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias.

Artículo 7.

1. Se considera persona responsable la persona natural o jurídica, de carácter público o privado, que decide sobre la finalidad, contenido y uso durante el tratamiento de datos personales.

2. La persona encargada es la persona natural o jurídica, de carácter público o privado, que de forma individual o en conjunto con otras realiza el tratamiento de datos personales por requerimiento del responsable.

Artículo 8.

1. El derecho a la protección de los datos personales se rige por lo establecido en la Constitución, esta Ley y las demás disposiciones normativas dictadas al efecto por los órganos competentes.

2. Los límites a este derecho solo aplican ante los derechos de los demás, la seguridad colectiva, el bienestar general, el respeto al orden público, la Constitución y las leyes.

Artículo 9.

En el tratamiento de datos personales de los menores de edad prevalece, en todo caso, el interés superior de estos, de conformidad con las disposiciones normativas aplicables y los tratados internacionales en vigor de los que la República de Cuba es parte.

SECCIÓN SEGUNDA.- Principios de protección de datos personales

Artículo 10.

La protección y tratamiento de datos personales se rige por los principios siguientes:

a) Limitación de recogida: la recogida y almacenamiento de información que pueda conducir a la identificación de determinada persona debe limitarse a lo que resulte relevante y estrictamente necesario para la finalidad que se requiera, ajustado a un objetivo concreto, lícito y explícito, conservándose solo por el tiempo preciso de acuerdo con esa finalidad;

b) calidad de los datos: los datos personales que se obtengan, almacenen y traten han de ser veraces, exactos, completos, correctos y actualizados, proporcionados por el propio titular, sin que para su obtención se empleen medios desleales o fraudulentos, manteniéndose de esa forma hasta que el titular manifieste y acredite la necesidad de su rectificación, modificación, actualización o cancelación;

c) especificación de los fines: los fines concretos para la obtención, almacenamiento y tratamiento técnico de cualquier naturaleza de los datos personales deben darse a conocer previamente al titular con exactitud, de forma comprensible y pertinente;

d) limitación de uso: los datos personales que se obtienen, almacenan y tratan solo pueden utilizarse para la finalidad específica y lícita que se informó a su titular, y por las personas naturales o jurídicas, u otras entidades autorizadas por este;

e) legitimación: solo están legitimados a obtener, almacenar y tratar datos personales los órganos, organismos, entidades y personas naturales o jurídicas cuando tienen autorización para la formación de archivos, de acuerdo con sus funciones o las actividades que realizan, según lo regulado en la legislación vigente a tales efectos;

f) salvaguarda de la seguridad: las personas naturales o jurídicas responsables de archivos que contienen datos personales están obligadas a salvaguardar su seguridad y a garantizar, con las correspondientes medidas tecnológicas, administrativas, materiales o físicas, que solo ellas o el personal autorizado, en su caso, acceden o realizan su tratamiento por los procedimientos establecidos;

g) transparencia de la información: la persona responsable y encargada de los archivos de datos personales garantizan a su titular el ejercicio de su derecho de acceso con el fin de la verificación, rectificación, actualización, cancelación u oposición

de estos; los archivos también han de estar aptos para su inspección o revisión por autoridad competente;

h) participación individual: solo pueden obtenerse datos personales con la participación individual de su titular, como expresión de respeto a su derecho a la identidad, intimidad, honor, su imagen y voz;

i) responsabilidad: las personas naturales o jurídicas encargadas de obtener, almacenar y dar tratamiento a los datos personales en registros, ficheros, archivos y bases de datos son responsables de su utilización lícita para los fines informados a su titular, con garantía de su seguridad;

j) legalidad: la posesión y tratamiento de datos personales obedece exclusivamente a fines lícitos; las personas responsables de registros, ficheros, archivos y bases de datos se atienen en su actuar a lo previsto en las disposiciones normativas que correspondan;

k) grados de reserva de la información: los datos personales que se aportan a registros, ficheros, archivos y bases de datos tienen carácter confidencial, solo pueden acceder a ellos su titular o persona con interés legítimo acreditado; y

l) consentimiento: el titular ha de manifestar su voluntad de forma libre, inequívoca, específica e informada para el tratamiento de los datos personales, precisando el fin con el que se otorga el consentimiento.

SECCIÓN TERCERA.- Del consentimiento y datos personales sensibles

Artículo 11.

1. La persona que realice tratamiento de datos personales ha de contar con el consentimiento de su titular, salvo en los casos de excepción previstos en esta Ley.

2. El consentimiento puede ser expreso cuando se manifiesta de forma verbal, por escrito o por cualquier medio que se pueda equiparar; o tácito cuando, puestos a disposición del titular los propósitos del tratamiento de sus datos, no manifiesta su voluntad en sentido contrario.

Artículo 12.

En todo caso ha de informarse al titular, de manera comprensible y pertinente, sobre la licitud y finalidad específica de los datos que se solicitan, y tiene derecho a conocer los destinatarios o clase de destinatarios de esos datos, el carácter facultativo u obligatorio de proporcionarlos, dónde se almacenan, a qué tratamiento pueden someterse, las consecuencias de aportarlos o no y de su inexactitud, así como su régimen de conservación.

Artículo 13.

1. El consentimiento para la obtención, almacenamiento y tratamiento de los datos personales de los menores de edad se otorga por ellos de acuerdo con su autonomía progresiva, o por sus padres, madres o representantes legales.

2. En caso de intereses contrapuestos entre el titular del derecho y sus representantes legales, se precisa la intervención del fiscal.

Artículo 14.

1. Las personas en situación de discapacidad otorgan por sí mismas su consentimiento para la obtención, almacenamiento y tratamiento de los datos personales que les corresponden, en los casos que proceda asistidos por los apoyos que se requieran en el ejercicio de su capacidad jurídica, y utilizan los medios personales y técnicos que correspondan.

2. Cuando se les haya designado un apoyo intenso con facultades de representación, compete a este dar el consentimiento conforme a las voluntades y preferencias de la persona en situación de discapacidad.

Artículo 15.

1. Son datos sensibles aquella información personal cuya utilización indebida puede dar lugar a discriminación, implique distinción lesiva a la dignidad humana o conlleve un riesgo grave para su titular.

2. Se consideran datos sensibles, entre otros, los que pueden revelar el sexo, género, identidad, identidad de género, orientación sexual, origen étnico y color de piel, el estado de salud presente o futuro, situación de discapacidad, información genética, u obtenidos a partir de pruebas diagnósticas realizadas en instituciones de salud o vinculadas a las técnicas de reproducción asistida, creencias religiosas, filiación política, antecedentes policiales y penales.

Artículo 16.

1. La persona no puede ser obligada a proporcionar datos personales sensibles, ni es lícito su tratamiento sin el consentimiento expreso, inequívoco, libre e informado de su titular, salvo en aquellos casos de excepción previstos en esta Ley.

2. Lo regulado en el apartado anterior se observa también en el caso de personas fallecidas, para lo que se ha de contar con el consentimiento que otorgara en vida, si existe declaración al respecto en el testamento o manifestación de voluntad destinada a ese fin; en su defecto, el de sus herederos o causahabientes.

Artículo 17.

Los datos personales pueden obtenerse, almacenarse y someterse a tratamiento específico, sin consentimiento expreso de su titular, solo en los supuestos siguientes:

a) Por disposición de la ley, siempre que se cumplan los principios declarados en la presente;

b) por disposición o resolución del fiscal o del tribunal;

c) ante un hecho que potencialmente pueda dañar a un individuo en su persona o bienes;

d) si son necesarios con el fin de realizar un tratamiento para la prevención, diagnóstico o la prestación de asistencia sanitaria urgente;

e) si se encuentran en fuentes de acceso público, siempre que no haya sido vulnerado algún principio para la protección de datos personales, previstos por la presente Ley;

f) si se someten a un procedimiento previo de disociación de datos, entendiendo como tal el tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable;

g) si el titular de los datos personales es reportado como desaparecido; y

h) por razones de bienestar general, el orden público e interés de la defensa y la seguridad nacional.

Artículo 18.

1. Lo establecido en los artículos que anteceden no exime a las personas de la obligación de identificarse ante las autoridades correspondientes, conforme a la legislación vigente, lo que trae implícito aportar sus datos de identidad mediante los documentos que la acrediten.

2. Las autoridades correspondientes no deben exigir otros datos que no sean los reflejados en dichos documentos, en atención a lo establecido en el Artículo 16, apartado 1, de la presente Ley.

CAPÍTULO II.- DERECHOS DE LOS TITULARES Y SU EJERCICIO

SECCIÓN PRIMERA.- Derechos de las personas sobre sus datos personales

Artículo 19.

Las personas son titulares de sus datos personales y tienen derecho a la no divulgación de estos y, en consecuencia, a que se le respete su intimidad personal y familiar, su honor e identidad personal, su propia imagen y voz.

Artículo 20.

El titular tiene derecho en todo momento a acceder a sus datos personales e información de carácter público que obren en registros, ficheros, archivos y bases de datos u otros medios técnicos de tratamiento de datos, sean físicos o digitales, públicos o privados, y a conocer la información relacionada con las condiciones y generalidades de su tratamiento.

Artículo 21.

1. El titular tiene derecho a la rectificación, corrección, modificación y actualización de sus datos personales por el responsable o encargado del registro, fichero, archivo y base de datos físicos o digitales, u otro medio técnico de tratamiento de datos, cuando son inexactos, incompletos o no están actualizados.

2. El incumplimiento de la obligación de obtención adecuada, custodia y uso de los datos, así como la obstaculización o negativa de acceso al titular de los datos personales, genera responsabilidad y permite a su titular exigir el resarcimiento por los daños o perjuicios causados, en correspondencia con la legislación vigente.

Artículo 22.

El titular tiene derecho a la cancelación de sus datos personales contenidos en registros, ficheros, archivos y bases de datos, físicos o digitales, u otro medio técnico de tratamiento de datos, cuando considere que el fin para el que fueron obtenidos se ha cumplido o que se hace un tratamiento inadecuado de los datos, que afecta o puede afectar de manera significativa sus intereses y derechos.

Artículo 23.

1. El titular puede oponerse al tratamiento de sus datos personales cuando le pueda causar un daño o perjuicio, o afectar de forma significativa sus derechos o legítimos intereses.

2. Puede oponerse, además, al tratamiento que se realiza a sus datos personales, ya sea automatizado o no, si perjudica de manera significativa sus intereses y derechos, y están destinados a evaluar determinados aspectos personales del titular, analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, fiabilidad, comportamiento o conlleve un riesgo grave para su titular, conforme a lo establecido en el Artículo 15 de la presente Ley, o cualquier otro que implique distinción lesiva a la dignidad humana.

SECCIÓN SEGUNDA.- Del ejercicio de los derechos de las personas sobre sus datos personales

Artículo 24.

1. El titular, su representante legal o apoyo, pueden ejercer los derechos de acceso, no divulgación, rectificación, corrección, modificación, actualización, cancelación y oposición de los datos personales que le conciernen, sin sujeción a un orden de prelación entre estos y de conformidad con lo previsto en la presente Ley.

2. El titular, su representante legal o apoyo, al solicitar la rectificación, corrección, modificación o actualización de los datos, adjuntan los medios probatorios que acrediten la acción solicitada, al recaer sobre los datos asentados la presunción de veracidad.

3. El ejercicio de estos derechos se ajusta a los procedimientos y plazos establecidos en el presente cuerpo normativo y demás disposiciones que resulten aplicables en la materia.

Artículo 25.

1. Las solicitudes para ejercer los derechos referidos en el artículo anterior se presentan por el titular, su representante legal o apoyo, ante la persona responsable o encargada del tratamiento de los datos, el que en el plazo de hasta cinco días hábiles decide sobre su procedencia o no.

2. De resultar procedente la solicitud a que se refieren los artículos que anteceden, la persona responsable la hace efectiva dentro de los diez días hábiles siguientes a la fecha en que fue formulada la misma.

3. Los plazos antes referidos pueden ser ampliados una sola vez por un período igual cuando así lo justifiquen las circunstancias del caso.

Artículo 26.

Cuando la persona responsable o encargada no sea competente para atender la solicitud, informa al titular dicha situación dentro de los cinco días hábiles siguientes a la presentación de la misma y le orienta hacia la persona que resulta competente para ello.

Artículo 27.

El acceso a la información de los datos personales se cumple cuando se pongan a disposición del titular lo solicitado mediante la expedición de copias simples, documentos electrónicos, exhibición de los datos o cualquier otro medio directo y seguro.

Artículo 28.

1. Se puede denegar o no dar curso al acceso a los datos personales y su no divulgación, o a realizar la corrección, rectificación, modificación, actualización, cancelación o conceder la oposición al tratamiento de los mismos, en los supuestos siguientes:

a) En la base de datos referida no se encuentren los datos personales del solicitante que se interesan;

b) el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;

c) se lesionen los derechos de un tercero;

d) exista resolución firme de tribunal competente que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de estos;

e) la rectificación, corrección, modificación, actualización, cancelación u oposición haya sido previamente realizada;

f) por razones de bienestar general, el orden público e interés de la defensa y la seguridad nacional;

g) otras que de manera significativa así lo ameriten; y

h) cuando el registro donde se consignan los datos personales esté amparado por regulaciones establecidas que limitan el acceso a dicha información.

2. En los casos anteriores la persona responsable o encargada decide, mediante resolución razonada, que notifica al titular de los datos o, en su caso, a su representante legal o apoyo, en los plazos establecidos.

SECCIÓN TERCERA.- De la acción de protección de datos personales

Artículo 29.

El titular de datos personales, en el término de diez días hábiles, puede establecer la acción de protección de datos personales contra la persona responsable o encargada de un registro, fichero, archivo o base de datos pública o privada, cuando:

a) Al solicitar acceder a sus datos personales o información de carácter público que se encuentran consignados en un registro, fichero, archivo, base de datos o similar y dicha información le haya sido denegada, o no le hubiese sido proporcionada por la persona responsable o encargada de la base de datos en las oportunidades y plazos previstos por la ley; y

b) haya solicitado, a quien es responsable o encargado del registro, fichero, archivo, base de datos o tratamiento, su no divulgación, rectificación, corrección, modificación, actualización, cancelación u oposición, y este no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, o lo resuelto no satisfaga su pretensión, en el plazo previsto al efecto en la ley.

Artículo 30.

1. Son competentes para conocer en primera instancia las acciones de protección de datos personales el superior jerárquico de las personas responsables o encargadas de la base de datos, cuando estas se encuentren en un órgano, organismo de la Administración Central del Estado y entidades nacionales, o sus dependencias.

2. En caso de que la persona responsable o encargada sea una persona natural o no se encuentren dichas bases de datos en un órgano, organismo de la Administración Central del Estado y entidades nacionales o sus dependencias, la acción de protección de datos personales se interpone ante el tribunal competente.

Artículo 31.

Están legitimados para accionar conforme al Artículo 29, el propio titular afectado, su representante legal o apoyo y, en caso de personas fallecidas, sus herederos o causahabientes.

Artículo 32.

1. Para la acción de protección de datos personales que se promueva conforme al Artículo 30, apartado 1, se convoca a las partes a una audiencia dentro del plazo de diez días hábiles posteriores a la fecha de la presentación de la reclamación.

2. Con este fin, se traslada la reclamación a quien resulte demandado con no menos de tres días hábiles de antelación del acto señalado, excepto que la acción fuera manifiestamente improcedente, en cuyo caso la autoridad que debe resolver la rechaza sin tramitarla y dispone el archivo de las actuaciones, dando cuenta al reclamante.

3. En la audiencia, se escuchan a los comparecientes, se reciben las pruebas que aporten las partes y se dispone la práctica de las que sean necesarias.

4. En cualquier momento se puede disponer diligencias de oficio por la autoridad que debe resolver.

Artículo 33.

La reclamación de la acción de protección de datos personales referida en el artículo anterior se soluciona mediante resolución que se dicta dentro del plazo de cinco días hábiles posteriores a la celebración de la audiencia; en casos excepcionales puede prorrogarse por igual plazo y se notifica la decisión de inmediato a los interesados, dejando constancia en el expediente que se conforma a tales efectos.

Artículo 34.

La resolución que declare con lugar la acción de protección de datos personales debe contener:

a) La identificación concreta de la autoridad o persona a quien se dirija y contra cuya acción, hecho u omisión se concede la pretensión;

b) la determinación precisa de lo que deba o no hacerse y el plazo por el cual dicha resolución regirá, si es que corresponde fijarlo; y

c) el plazo para el cumplimiento de lo dispuesto, que es fijado por quien resuelve conforme a las circunstancias de cada caso, y no será mayor de quince días hábiles siguientes e ininterrumpidos, computados a partir de la notificación.

Artículo 35.

1. Si en atención a lo interesado resulta, a juicio de quien resuelve, la necesidad de su inmediata actuación, puede disponer, previo a la solución definitiva del caso y con carácter provisional, las medidas que se requieran en resguardo del derecho presuntamente vulnerado.

2. Lo establecido en el apartado que antecede puede disponerse por quien resuelve en cualquier momento del proceso, de ser el caso.

Artículo 36.

Contra lo resuelto en la acción de protección de datos personales puede establecerse demanda ante el tribunal competente.

Artículo 37.

La acción de protección de datos personales que se promueva conforme el Artículo 30, apartado 2, se rige por las normas y procedimientos contenidos en la ley procesal vigente.

Artículo 38.

1. En los procesos de acción de protección de datos personales no pueden deducirse cuestiones previas, reconvenciones ni incidentes.

2. La autoridad, a petición de parte o de oficio, subsana los vicios de procedimiento, asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio contradictorio.

SECCIÓN CUARTA.- Del régimen de conservación de los datos personales

Artículo 39.

1. El régimen de conservación de los datos personales está en correspondencia con las disposiciones aplicables en la materia de que se trate y tiene en cuenta los aspectos legales, administrativos, históricos o de otra índole.

2. El régimen de conservación no puede exceder los plazos para el cumplimiento de las finalidades que justifican su tratamiento.

3. Los datos personales que hayan cumplido las finalidades que motivaron su tratamiento conforme a las disposiciones que resulten aplicables se suprimen, de oficio o a solicitud del titular de los registros, ficheros, archivos y bases de datos físicos o digitales, u otros medios técnicos de tratamiento de datos en los que se encuentran, una vez concluido el plazo de conservación.

4. El régimen de conservación es de hasta cinco años, siempre que por ley no se disponga un término distinto o el titular consienta otro plazo.

CAPÍTULO III.- DEL TRATAMIENTO DE DATOS PERSONALES

SECCIÓN PRIMERA.- Del control de bases de datos personales

Artículo 40.

El registro, fichero, archivo o base de datos, tanto públicas como privadas, que por la finalidad para la que han sido creadas suponen un interés público, son controladas a nivel nacional, así como otras que determine la autoridad facultada a propuesta de los órganos, organismos de la Administración Central del Estado y entidades nacionales o sus dependencias, que contengan datos personales.

Artículo 41.

El control nacional de registro, fichero, archivo o bases de datos personales recoge la información siguiente:

a) Nombre y apellidos, carné de identidad y domicilio legal de la persona natural autorizada a la prestación de servicios, responsable de la recopilación de los datos; en el caso de la persona jurídica, los datos que la identifican;

b) características y finalidad de los registros, ficheros, archivos, bases de datos u otros medios físicos o digitales e información que se recopile;

c) datos personales que conforman el contenido de los registros, ficheros, archivos, bases de datos u otros medios físicos o digitales;

d) forma de recolección y actualización de los datos;

e) ubicación y destino de los datos;

f) medios utilizados para garantizar la seguridad de los datos;

g) cesiones, interconexiones o transferencias previstas;

h) identificación de las personas con acceso al tratamiento de la información;

i) tiempo de conservación de los datos; y

j) forma y condiciones en que las personas con interés legítimo pueden acceder a los datos recogidos, procedimientos para la rectificación, corrección, modificación, actualización, cancelación u oposición de los datos.

Artículo 42.

Las personas naturales y jurídicas que dispongan de registro, fichero, archivo o bases de datos personales de acuerdo con lo previsto en la presente Ley, declaran su existencia ante la autoridad facultada y notifican a esta los cambios en la información asentada, lo que garantiza transparencia y seguridad jurídica de estas bases de datos ante terceros.

Artículo 43.

El incumplimiento de lo previsto en el artículo anterior puede dar lugar a la aplicación de la sanción y medidas previstas en la presente Ley.

SECCIÓN SEGUNDA.- De las obligaciones en el tratamiento de datos personales

Artículo 44.

1. La persona responsable o encargada del tratamiento de datos personales garantiza las condiciones materiales, técnicas y organizativas para dar curso a las solicitudes de los titulares en el ejercicio de su derecho; adopta las medidas para la seguridad de los datos y evita su alteración, pérdida, tratamiento o acceso no autorizado; asimismo, promueve acciones de comunicación y educación jurídica sobre la protección de datos personales.

2. En ningún caso trata datos personales de naturaleza distinta a los fines declarados.

Artículo 45.

La persona que, en el ejercicio de funciones legalmente autorizadas, tiene acceso a los datos, está obligada a observar la debida reserva y confidencialidad que ello requiere, a cuyo fin el responsable del tratamiento le notifica sobre la responsabilidad que adquiere y las consecuencias legales de su incumplimiento.

Artículo 46.

En los casos de cancelación de los datos personales, el responsable o encargado de los mismos establece el destino que se da a estos o las medidas que se adoptan para su destrucción.

Artículo 47.

Las personas jurídicas o naturales que prestan servicios que impliquen tratamiento de datos personales en sus registros, ficheros, archivos o bases de datos, están obligadas a la protección de estos e informarlo en el momento de su obtención, ya sea directamente o durante el registro en sitios y aplicaciones informáticas, mediante aviso de privacidad, con observancia de los requisitos previstos en el Artículo 12 de la presente Ley.

Artículo 48.

La persona responsable o encargada del tratamiento de registros, ficheros, archivos o bases de datos personales está obligada a notificar a la autoridad competente la ocurrencia de incidentes de ciberseguridad, conforme a lo establecido en la legislación vigente.

SECCIÓN TERCERA.- Del tratamiento de los datos personales procedentes de imágenes y voz obtenidos mediante la utilización de videocámaras de protección o cualquier otro dispositivo

Artículo 49.

1. Los datos personales como la imagen y voz, cuando sean captados por videocámaras o cualquier otro dispositivo que permite su grabación en locales, viviendas e instalaciones y espacios donde se prestan servicios de interés público, en ningún caso pueden ocasionar una lesión a los derechos y garantías reconocidos en la Constitución y la presente Ley.

2. La instalación de los dispositivos expresados en el apartado anterior se justifican solo si el fin es legítimo, siempre que no puedan emplearse otros medios.

3. El uso y tratamiento indebido de los datos personales procedentes de imágenes y voz obtenidos mediante la utilización de videocámaras de protección o cualquier otro dispositivo, puede dar lugar a una acción de protección de datos personales, así como la responsabilidad civil o penal que corresponda.

Artículo 50.

Las personas naturales o jurídicas que prestan servicios de interés público están obligadas a informar la presencia de estos medios y a colocar identificadores en las áreas donde se encuentran ubicados.

Artículo 51.

Los medios de recogida de imágenes y voz instalados en espacios privados no pueden incluir su obtención hacia espacios públicos, excepto que resulte imprescindible o imposible de evitar de acuerdo con su ubicación, cumpliendo la obligación descrita en el artículo anterior.

Artículo 52.

Las grabaciones de imágenes y voz obtenidas por esta vía no pueden ser usadas en fines distintos a los que las motivaron.

Artículo 53.

El tratamiento de las grabaciones de imágenes y voz provenientes de videocámaras de protección relacionadas con las instituciones armadas del Estado cumplen los principios declarados en la presente Ley, y su tratamiento se regula de acuerdo con las normas que dicten las autoridades competentes.

Artículo 54.

La utilización de las grabaciones de imágenes y voz de personas obtenidas desde teléfonos móviles, cámaras fotográficas, grabadoras u otros dispositivos similares, en ningún caso puede afectar los derechos protegidos en el Artículo 19 de la presente Ley.

Artículo 55.

1. Los medios de comunicación social, en cualquiera de sus manifestaciones y soportes, en el tratamiento de datos personales, incluidas las grabaciones de imágenes y voz, cumplen los principios declarados en la presente y velan por lo regulado en el Artículo 19.

2. El consentimiento informado no es requisito a estos fines cuando se trate de personas de reconocidos méritos patrióticos, revolucionarios, de dirección, científicos, docentes, culturales, deportivos, de servicio al pueblo, personalidades, funcionarios públicos en el ejercicio de sus funciones, o tratándose de persona que no es el centro de la información o cuando dicha información sea de carácter público.

SECCIÓN CUARTA.- Del incumplimiento de las disposiciones relativas a la protección de datos personales

Artículo 56.

1. Las personas naturales o jurídicas sujetas al régimen legal que esta Ley establece, que incumplan las disposiciones relativas a la protección de datos personales, se les imponen por la autoridad competente las sanciones y medidas siguientes:

a) Apercibimiento;

b) multa de hasta 20 000 pesos;

c) suspensión de la base de datos respectiva por el plazo de hasta cinco días; y

d) clausura del registro, fichero, archivo o la base de datos.

2. Estas sanciones y medidas se gradúan teniendo en cuenta el impacto social, la gravedad, reiteración o reincidencia de la infracción cometida.

3. Las sanciones y medidas se aplican sin perjuicio de la responsabilidad civil o penal en la que se pueda incurrir.

4. La autoridad competente para imponer la multa y demás medidas que correspondan por los incumplimientos de las disposiciones relativas a la protección de datos personales,

son los funcionarios autorizados expresamente por los órganos, organismos de la Administración Central del Estado y entidades nacionales, en el ámbito de su competencia.

Artículo 57.

1. Contra la sanción o medida impuesta por la autoridad competente, el afectado puede interponer por escrito recurso de apelación en el plazo de diez días hábiles siguientes a la fecha de notificación.

2. Está facultado para conocer y resolver el recurso de apelación, el jefe inmediato superior de la autoridad que impuso la sanción o medida.

3. La persona inconforme, en el recurso de apelación interpuesto, propone las pruebas de que intente valerse a los fines de su impugnación.

Artículo 58.

El jefe inmediato superior que conoce del recurso puede convocar al recurrente para ser escuchado sobre su impugnación.

Artículo 59.

El recurso de apelación no interrumpe la ejecución de la sanción o medida impuesta.

Artículo 60.

1. El recurso se resuelve en un plazo de hasta diez días hábiles posteriores a su presentación.

2. Dicho plazo puede ser prorrogado por diez días hábiles más, si la práctica de pruebas presentadas lo hace necesario.

3. La resolución que resuelve el recurso de apelación se notifica al recurrente dentro del plazo de tres días hábiles siguientes a la fecha de dictada.

Artículo 61.

En el caso en que se declare con lugar el recurso, la decisión se comunica a quienes hayan intervenido en la ejecución de la sanción o medida.

Artículo 62.

Contra la decisión de la autoridad administrativa facultada procede demanda administrativa en sede judicial.

SECCIÓN QUINTA.- De la transferencia nacional e internacional de datos personales

Artículo 63.

Se autoriza la transferencia de datos personales dentro del territorio nacional, a solicitud de los responsables o encargados de tratamiento de datos, en los casos siguientes:

a) Intercambio de datos de carácter médico, sanitario o investigativo cuando sea requerido para tratamiento del titular o por interés colectivo;

b) cuando la transferencia de datos tiene como objeto el bienestar general, el orden público e interés de la defensa y la seguridad nacional;

c) transferencias bancarias en cuanto a las transacciones respectivas;

d) para facilitar el ejercicio del derecho al sufragio en cuanto a la conformación del registro de electores; y

e) por otras razones, que de manera significativa, así lo ameriten.

Artículo 64.

Los responsables o encargados para tratar datos personales lo son para autorizar su transferencia en el ámbito de sus competencias, cumpliendo los principios establecidos en la presente Ley.

Artículo 65.

1. La transferencia internacional de datos, a solicitud de la autoridad responsable del país receptor, procede en los casos siguientes:

a) Colaboración judicial internacional;

b) intercambio de datos de carácter médico cuando lo exija el tratamiento del titular, y una investigación epidemiológica, en tanto se realice previa adopción de un procedimiento de disociación de la información, con la finalidad de que el titular de los datos sea inidentificable;

c) transferencias bancarias o bursátiles en cuanto a las transacciones respectivas y de acuerdo con la legislación que resulte aplicable;

d) cuando la transferencia se ha acordado en el marco de tratados internacionales vigentes en los que la República de Cuba sea parte; y

e) cuando la transferencia de datos tiene como objeto la cooperación internacional entre organismos para la lucha contra el crimen organizado, el terrorismo, lavado de activos, tráfico de drogas y otros delitos objeto de dicha cooperación.

2. Para autorizar la transferencia internacional de datos se tiene en cuenta la índole o naturaleza de los datos que se solicitan, los fines en los que son utilizados, el consentimiento o información a los titulares en los casos que se requiera, el período de duración del tratamiento a que son sometidos o que se tienen previstos, país de origen y destino final de la información, normas de derecho generales o especiales aplicables, normas profesionales específicas aplicables y medidas de seguridad técnicas y organizativas en vigor en los países de destino.

Artículo 66.

El Presidente del Tribunal Supremo Popular, el Fiscal General de la República, el Ministro-Presidente del Banco Central de Cuba y los ministros de Relaciones Exteriores, del Interior, de Justicia y de Salud Pública están facultados para autorizar la transferencia internacional de datos personales en el ámbito de sus competencias.

DISPOSICIONES ESPECIALES

PRIMERA:

El Ministro de Justicia, en el término de hasta un (1) año a partir de la vigencia de la presente Ley, crea el control nacional de registros, ficheros, archivos o bases de datos personales, del cual es el responsable y sobre el que ejerce la máxima supervisión.

SEGUNDA:

Los responsables o encargados de los registros, ficheros, archivos o bases de datos personales declaran, en el plazo de hasta un (1) año de la creación del control nacional, la existencia de estos.

DISPOSICIONES FINALES

PRIMERA:

Encargar al Ministerio de Justicia el control del cumplimiento de lo dispuesto en la presente Ley.

SEGUNDA:

El Consejo de Ministros, de manera excepcional, autoriza la transferencia internacional de datos personales en los casos no previstos en la presente Ley, a propuesta del Jefe del órgano, organismo de la Administración Central del Estado o entidad nacional que corresponda.

TERCERA:

Los ministros de las Fuerzas Armadas Revolucionarias y del Interior aplican lo establecido en la presente Ley, de acuerdo con las características de sus organismos y adoptan las medidas para modificar, adecuar o dictar las normas que correspondan.

CUARTA:

Los jefes de los órganos, organismos de la Administración Central del Estado y entidades nacionales establecen las regulaciones internas que correspondan, que permitan adoptar las medidas necesarias para dar cumplimiento a lo que por la presente se dispone.

QUINTA:

La presente Ley entra en vigor a partir de los ciento ochenta (180) días de su publicación en la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADA en la Sala de Sesiones de la Asamblea Nacional del Poder Popular, Palacio de Convenciones, en La Habana, a los 14 días del mes de mayo de 2022.

Juan Esteban Lazo Hernández, Presidente de la Asamblea Nacional del Poder Popular

Miguel Mario Díaz-Canel Bermúdez, Presidente de la República de Cuba