BORRADOR LEY DE DATOS PERSONALES EN PARAGUAY – 28 de enero de 2021
¶ 1 Deja un comentario en Párrafo 1 0 Propuesta de la Coalición de Datos Personales
Agradecimientos
A LAS PERSONAS QUE ENVIARON COMENTARIOS:
¶ 2 Deja un comentario en Párrafo 2 0 Marlene Samaniego, Bruno Duarte, Gaspar Pisanu- Access Now, Gonzalo Fleitas, Jose Fernando Casañas Levi, Marcelo Galvan, Paloma Lara Castro, Miguel Candia, Pablo Palazzi, Stael Olmedo Cabral, Dolores Dozo, Ralf Sauer, Manuel García-Sánchez.
A LAS INSTITUCIONES PÚBLICAS QUE ENVIARON COMENTARIOS:
¶ 3 Deja un comentario en Párrafo 3 0 Asociación de Bancos del Paraguay, Banco Central del Paraguay, Comisión Nacional de Telecomunicaciones, Despacho del Dip.Edwin Reimer, Dirección Nacional de Propiedad Intelectual, Dirección General de los Registros Públicos, Ministerio de Hacienda, Ministerio de Relaciones Exteriores, Ministerio Público, Ministerio de Salud Pública y Bienestar Social, Ministerio de Tecnologías y Comunicaciones, Instituto de Previsión Social, Dirección General del Registro del Estado Civil.
REDACCIÓN DEL BORRADOR (versión marzo 2020):
¶ 4 Deja un comentario en Párrafo 4 0 Cecilia Abente, Mariel Aranda, Natalia Enciso, Miguel Angel Gaspar, Adriana Marecos, Alberto Poletti.
REDACCIÓN Y EDICION FINAL (versión enero 2021):
¶ 5 Deja un comentario en Párrafo 5 0 Cecilia Abente, Natalia Enciso, Marlene Samaniego y Maricarmen Sequera.
TÍTULO I. DISPOSICIONES GENERALES.
Artículo 1. Objeto de La Ley.
¶ 6 Deja un comentario en Párrafo 6 0 La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de los derechos de sus titulares, y la libre circulación de tales datos, de conformidad a lo establecido en la Constitución Nacional y los Tratados Internacionales de los cuales la República del Paraguay es parte.
Artículo 2. Ámbito de Aplicación.
¶ 7 Deja un comentario en Párrafo 7 1 Las normas de la presente ley serán de aplicación cuando:
¶ 8 Deja un comentario en Párrafo 8 0 a. El responsable o encargado del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;
¶ 9 Deja un comentario en Párrafo 9 0 b. El responsable o encargado del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional o derivado de la celebración de un contrato;
¶ 10 Deja un comentario en Párrafo 10 0 c. El responsable o encargado no se encuentre establecido en territorio nacional y las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes, o bien,
¶ 11 Deja un comentario en Párrafo 11 1 estén relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en la República del Paraguay, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.
¶ 12 Deja un comentario en Párrafo 12 0 d. El responsable o encargado no se encuentre establecido en territorio nacional y utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.
Artículo 3. Excepciones a la ley
¶ 13 Deja un comentario en Párrafo 13 0 Se consideran exentos de aplicación de la presente ley, el tratamiento de datos cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.
Artículo 4. Limitaciones al derecho de la protección de datos
¶ 14 Deja un comentario en Párrafo 14 1 La legislación nacional que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en el Título V y los principios establecidos en el Título II, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
¶ 15 Deja un comentario en Párrafo 15 0 a) la seguridad del Estado;
¶ 16 Deja un comentario en Párrafo 16 0 b) la defensa;
¶ 17 Deja un comentario en Párrafo 17 0 c) la seguridad pública;
¶ 18 Deja un comentario en Párrafo 18 0 d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
¶ 19 Deja un comentario en Párrafo 19 0 e) otros objetivos importantes de interés público, en particular un interés económico o financiero importante, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
¶ 20 Deja un comentario en Párrafo 20 0 f) la protección de la independencia judicial y de los procedimientos judiciales;
¶ 21 Deja un comentario en Párrafo 21 0 g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
¶ 22 Deja un comentario en Párrafo 22 0 h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en los incisos a) a e) y g);
¶ 23 Deja un comentario en Párrafo 23 0 i) la protección del interesado o de los derechos y libertades de otros;
¶ 24 Deja un comentario en Párrafo 24 0 j) la ejecución de demandas civiles.
¶ 25 Deja un comentario en Párrafo 25 0 Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:
- La finalidad del tratamiento.
- Las categorías de datos personales de que se trate.
- El alcance de las limitaciones establecidas.
- Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.
- La determinación del responsable o responsables.
- Los plazos de conservación de los datos personales.
- Los posibles riesgos para los derechos y libertades de los titulares.
- El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.
Artículo 5. Definiciones
¶ 27 Deja un comentario en Párrafo 27 0 A los efectos de la presente ley, se consideran las siguientes definiciones:
- Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.
- Datos Personales: datos que colaboren para identificar a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto también incluye metadatos y fragmentos de datos.
- Datos personales sensibles: son los referentes a pertenencias raciales o étnicas, preferencias políticas, convicciones religiosas, filosófica o morales; participación o afiliación en una organización sindical o política; información referente a la salud, la preferencia o vida sexual, datos biométricos y genéticos vinculados a una persona física y, en general, los que fomenten prejuicios y discriminaciones ilícitas o arbitrarias, o afecten la dignidad, la privacidad, la intimidad y la vida privada de la persona.
- Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
- Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
- Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
- Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa realizada por escrito o por medios electrónicos, así como por cualquier forma similar que la tecnología permita, el tratamiento de los datos personales que le conciernen.
- Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.
- Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales en representación o mandato del responsable del tratamiento.
- Representante: persona física o jurídica establecida en la República del Paraguay que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento, represente a los mismos en lo que respecta a sus respectivas obligaciones en virtud de la presente ley.
- Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.
- Elaboración De Perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.
- Normas de autorregulación Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio nacional para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
- Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.
- Bloqueo de datos: La identificación y reserva de datos personales con el fin de impedir su tratamiento.
- Fuente de acceso público: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, conforme a la Ley Nº5282/2014 “De libre acceso ciudadano a la información pública y transparencia gubernamental”.
TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS
Artículo 6. Principio de exactitud de los datos
¶ 29 Deja un comentario en Párrafo 29 0 Los datos personales serán exactos, completos y actualizados. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
¶ 30 Deja un comentario en Párrafo 30 0 Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.
Artículo 7. Principio de licitud del tratamiento
¶ 31 Deja un comentario en Párrafo 31 0 Para que el tratamiento sea lícito, los datos personales deben ser tratados conforme a las bases jurídicas previstas en la presente ley en el artículo 16.
Artículo 8. Principio de finalidad
¶ 32 Deja un comentario en Párrafo 32 1 Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.
Artículo 9. Principio de proporcionalidad
¶ 33 Deja un comentario en Párrafo 33 2 El responsable y el encargado tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.
¶ 34 Deja un comentario en Párrafo 34 1 Asimismo, los datos deberán someterse a revisión periódica para determinar si continúan cumpliendo la finalidad.
Artículo 10. Principio de lealtad
¶ 35 Deja un comentario en Párrafo 35 1 No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos. Para los efectos de la presente ley, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.
Artículo 11. Principio de transparencia
¶ 36 Deja un comentario en Párrafo 36 1 El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.
Artículo 12. Limitación del plazo de conservación
¶ 37 Deja un comentario en Párrafo 37 0 No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La Autoridad de aplicación deberá establecer los plazos para la supresión y/o revisión periódica.
¶ 38 Deja un comentario en Párrafo 38 0 El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados u pseudo anonimizados.
Artículo 13. Principio de responsabilidad proactiva
¶ 39 Deja un comentario en Párrafo 39 0 El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.
Artículo 14. Principio de seguridad
¶ 40 Deja un comentario en Párrafo 40 0 En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.
¶ 41 Deja un comentario en Párrafo 41 0 Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:
¶ 42 Deja un comentario en Párrafo 42 0 a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.
¶ 43 Deja un comentario en Párrafo 43 0 b. El estado de la técnica.
¶ 44 Deja un comentario en Párrafo 44 0 c. Los costos de aplicación.
¶ 45 Deja un comentario en Párrafo 45 0 d. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.
¶ 46 Deja un comentario en Párrafo 46 0 e. El alcance, contexto y las finalidades del tratamiento.
¶ 47 Deja un comentario en Párrafo 47 1 f. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.
¶ 48 Deja un comentario en Párrafo 48 0 g. El número de titulares.
¶ 49 Deja un comentario en Párrafo 49 0 h. Las posibles consecuencias que se derivarían de una vulneración para los titulares.
¶ 50 Deja un comentario en Párrafo 50 0 i. Las vulneraciones previas ocurridas en el tratamiento de datos personales.
¶ 51 Deja un comentario en Párrafo 51 0 El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.
¶ 52 Deja un comentario en Párrafo 52 1 Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.
Artículo 15. Principio de confidencialidad
¶ 53 Deja un comentario en Párrafo 53 0 Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular.
¶ 54 Deja un comentario en Párrafo 54 1 La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con lo establecido en el artículo 174 de la Ley 1160/97 “Código Penal”.
¶ 55 Deja un comentario en Párrafo 55 1 El obligado puede ser relevado del deber de confidencialidad por decisión de un juez o tribunal.
TÍTULO III. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
Artículo 16. Bases legales para el tratamiento de datos personales
¶ 56 Deja un comentario en Párrafo 56 1 El tratamiento de datos personales sólo podrá realizarse en los siguientes casos:
- con el consentimiento del titular;
- para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;
- por la administración pública, para el tratamiento y uso compartido de los datos necesarios para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en contratos, convenios o instrumentos similares, sujeto al o dispuesto en el Capítulo … de esta Ley;
- el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;
- cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del interesado;
- para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales,
- para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria,
- cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente;
¶ 58 Deja un comentario en Párrafo 58 0 Lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Artículo 17. Consentimiento
¶ 59 Deja un comentario en Párrafo 59 0 Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
¶ 60 Deja un comentario en Párrafo 60 0 No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.
¶ 61 Deja un comentario en Párrafo 61 0 Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tendrá efectos retroactivos.
¶ 62 Deja un comentario en Párrafo 62 0 En el caso de que se requiera consentimiento, si hay cambios en la finalidad para el tratamiento de datos personales que no sean compatibles con el consentimiento original, el responsable deberá informar al titular con anticipación sobre los cambios en la finalidad, y el titular puede revocar el consentimiento, si no está de acuerdo con los cambios.
¶ 63 Deja un comentario en Párrafo 63 0 El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección, siempre que se garantice la preservación de los derechos del titular, así como los fundamentos y principios establecidos en esta Ley. En ningún caso procederá para el tratamiento de datos sensibles.
¶ 64 Deja un comentario en Párrafo 64 0 Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.
¶ 65 Deja un comentario en Párrafo 65 0 En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.
Artículo 18. Consentimiento de niños, niñas y adolescentes
¶ 66 Deja un comentario en Párrafo 66 0 En el tratamiento de datos personales de una niña, niño o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la Convención Sobre Los Derechos Del Niño y demás instrumentos internacionales firmados y ratificados por la República del Paraguay que busquen su bienestar y protección integral.
¶ 67 Deja un comentario en Párrafo 67 0 El tratamiento de los datos personales de los y las adolescentes podrá fundarse en su consentimiento a partir de los catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los niños y niñas de hasta trece años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.
¶ 68 Deja un comentario en Párrafo 68 0 El responsable y encargado deberán realizar esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.
Artículo 19. Interés legítimo
¶ 69 Deja un comentario en Párrafo 69 1 El interés legítimo del responsable del tratamiento sólo puede sustentar el tratamiento de datos personales con fines lícitos, considerados desde situaciones concretas y siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados, que incluyen, pero no se limitan a:
- Apoyo y promoción de las actividades del responsable del tratamiento; y
- Protección, en relación con el titular, del ejercicio regular de sus derechos o prestación de los servicios que le beneficien, respetando sus legítimas expectativas y derechos y libertades fundamentales, en los términos de esta Ley.
¶ 71 Deja un comentario en Párrafo 71 0 Cuando el tratamiento se base en el interés legítimo del responsable del tratamiento, solo se podrán tratar los datos personales estrictamente necesarios para la finalidad prevista.
¶ 72 Deja un comentario en Párrafo 72 0 El responsable del tratamiento debe adoptar medidas para garantizar la transparencia del tratamiento de los datos en función de su interés legítimo.
¶ 73 Deja un comentario en Párrafo 73 1 La Autoridad de Aplicación podrá solicitar al responsable del tratamiento un informe de impacto sobre la protección de datos personales, cuando el tratamiento se base en su interés legítimo, observando secretos comerciales e industriales.
¶ 74 Deja un comentario en Párrafo 74 0 El titular tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales basado en el interés legítimo del responsable.
TÍTULO IV: TRATAMIENTOS ESPECIALES
Artículo 20. Tratamiento de datos sensibles
¶ 75 Deja un comentario en Párrafo 75 0 A fin de evitar el tratamiento con fines discriminatorios, ilícitos o abusivos queda prohibido el tratamiento de datos personales sensibles salvo que:
- El titular haya dado su consentimiento explícito y por escrito para el tratamiento de dichos datos personales, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;
- El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad social;
- El tratamiento sea necesario para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;
- El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;
- El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial, o en procesos administrativos o arbitrales;
- El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;
- El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
- Se realice en el marco de asistencia humanitaria en casos de desastres naturales;
- Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico o que hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley;
- El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar anonimizados o pseudo anonimizados;
- El tratamiento compartido de los datos sea necesario para la ejecución, por parte de la administración pública, de las políticas públicas previstas en las leyes o reglamentos;
¶ 77 Deja un comentario en Párrafo 77 0 Se prohíbe la comunicación o uso compartido entre responsables del tratamiento de datos personales sensibles relacionados con la salud con el fin de obtener una ventaja económica, salvo en los casos relacionados con la prestación de servicios sanitarios, asistencia farmacéutica y asistencia sanitaria, incluidos los servicios auxiliares para el diagnóstico y la terapia, para el beneficio de los intereses de los titulares de los datos, y para permitir la portabilidad de datos cuando lo solicite el titular.
¶ 78 Deja un comentario en Párrafo 78 0 Se prohíbe a los operadores de planes de salud privados el procesamiento de datos de salud para la práctica de selección de riesgos al contratar cualquier modalidad, así como al contratar y excluir beneficiarios.
Artículo 21. Tratamiento de datos de información crediticia
¶ 79 Deja un comentario en Párrafo 79 0 Se remitirá a lo establecido en la ley Nº 6534/20 de Protección de Datos personales crediticios.
Artículo 22. Tratamiento de datos con fines de publicidad
¶ 80 Deja un comentario en Párrafo 80 0 Cuando los datos personales sean utilizados para perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en fuentes de acceso público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.
¶ 81 Deja un comentario en Párrafo 81 0 En toda comunicación con fines de publicidad que se realice por correo postal, teléfono, correo electrónico, Internet u otro medio de comunicación que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley.
¶ 82 Deja un comentario en Párrafo 82 0 El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de las bases de datos a los que se refiere el presente artículo. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, el responsable cumplirá con lo establecido en el artículo 41 del derecho de oposición.
¶ 83 Deja un comentario en Párrafo 83 0 Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.
Artículo 23. Tratamientos con fines de videovigilancia
¶ 84 Deja un comentario en Párrafo 84 0 Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
¶ 85 Deja un comentario en Párrafo 85 0 Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.
¶ 86 Deja un comentario en Párrafo 86 0 No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.
¶ 87 Deja un comentario en Párrafo 87 0 Los datos serán suprimidos en un plazo máximo de hasta 6 meses desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
¶ 88 Deja un comentario en Párrafo 88 0 Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.
¶ 89 Deja un comentario en Párrafo 89 0 Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
CAPÍTULO I. DISPOSICIONES APLICABLES A LA ADMINISTRACIÓN PÚBLICA.
Artículo 24. Tratamiento de datos personales por la administración pública
¶ 90 Deja un comentario en Párrafo 90 0 El tratamiento de los datos personales por la Administración Pública debe considerar la finalidad, la necesidad, la buena fe y el interés público, con el objetivo de ejecutar las facultades legales o cumplir con las atribuciones legales, siempre que:
- En ejercicio de sus competencias, realicen el tratamiento de datos personales, aportando información clara y actualizada sobre la disposición legal, finalidad, procedimientos y prácticas utilizadas para realizar estas actividades;
- Designe un responsable para la realización de operaciones de tratamiento de datos personales, de conformidad con el 51, inc a. de esta Ley;
- Los servicios notariales y registrales, que se realicen en forma privada por delegación de la Corte Suprema de Justicia, tendrán el mismo tratamiento que las personas jurídicas de derecho público, en los términos de este Capítulo;
- Los notarios y órganos registrales deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, a la vista de las finalidades a que se refiere el título de este artículo.
- Las empresas públicas y las sociedades de capital mixto, cuando se encuentren operando políticas públicas y en el ámbito de su implementación, tendrán el mismo tratamiento que se le da a los órganos y entidades de la Administración Pública, en los términos de este Capítulo.
¶ 92 Deja un comentario en Párrafo 92 0 Los datos deben mantenerse en un formato interoperable y estructurado de uso compartido, con miras a la implementación de políticas públicas, la prestación de servicios públicos, la descentralización de la actividad pública y la difusión y acceso de la información al público en general.
¶ 93 Deja un comentario en Párrafo 93 0 La autoridad de control podrá solicitar, en cualquier momento, a los órganos y entidades de la Administración Pública para la realización de operaciones de tratamiento de datos personales, información específica sobre el alcance y naturaleza de los datos, garantías y demás detalles del tratamiento realizado.
¶ 94 Deja un comentario en Párrafo 94 0 La autoridad de control podrá establecer reglas complementarias para las actividades de comunicación y uso compartido de datos personales.
Artículo 25. Comunicación de datos personales entre instituciones públicas
¶ 95 Deja un comentario en Párrafo 95 0 Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:
- La institución pública titular de la base de datos haya obtenido los datos en ejercicio de sus funciones,
- El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias,
- Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario en relación a esta última finalidad.
¶ 97 Deja un comentario en Párrafo 97 0 El uso compartido de datos personales por parte de la Administración Pública debe servir para fines específicos, para la ejecución de políticas públicas y atribución legal por parte de organismos y entidades públicas, respetando los principios de protección de datos personales enumerados en el Título II de esta Ley.
Artículo 26. Comunicación de datos personales a entidades privadas
¶ 98 Deja un comentario en Párrafo 98 0 Se prohíbe a la Administración Pública transferir a entidades privadas datos personales contenidos en bases de datos a las que tenga acceso, salvo:
- En los casos de ejecución descentralizada de la actividad pública que requiera la comunicación, exclusivamente para este fin específico y determinado, previsto en la ley y sujeta a salvaguardas específicas;
- Cuando exista una disposición legal o la transferencia esté respaldada por contratos, convenios o instrumentos similares. Los contratos y acuerdos deben ser comunicados a la autoridad de control.
Artículo 27. Tratamiento de datos en el ámbito de la función Estadística Pública
¶ 100 Deja un comentario en Párrafo 100 0 El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.
¶ 101 Deja un comentario en Párrafo 101 0 Dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.
¶ 102 Deja un comentario en Párrafo 102 0 Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de los derechos del Titular establecido en el artículo 40 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación específica.
Artículo 28. Tratamiento de datos con fines de archivo en interés Público por parte de las Administraciones Públicas
¶ 103 Deja un comentario en Párrafo 103 0 Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley y leyes específicas que incluyan salvaguardas para la protección de los derechos de los titulares.
Artículo 29. Tratamiento de datos de naturaleza penal
¶ 104 Deja un comentario en Párrafo 104 0 El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en esta ley o en otras normas de rango legal.
¶ 105 Deja un comentario en Párrafo 105 0 El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de Administración de Justicia.
¶ 106 Deja un comentario en Párrafo 106 0 Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
Artículo 30. Tratamiento de datos relativos a infracciones y sanciones administrativas.
¶ 107 Deja un comentario en Párrafo 107 0 El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:
- Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.
- Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.
¶ 109 Deja un comentario en Párrafo 109 0 Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.
¶ 110 Deja un comentario en Párrafo 110 0 Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
Artículo 31. Infracción del tratamiento de los datos personales por parte de las Instituciones públicas
¶ 111 Deja un comentario en Párrafo 111 0 Cuando se produzca una infracción a esta ley como consecuencia del tratamiento de datos personales por parte de instituciones públicas, la autoridad de control dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte y sin perjuicio de la responsabilidad penal en que haya incurrido.
Artículo 32. Informes sobre el Impacto de la protección de datos personales
¶ 112 Deja un comentario en Párrafo 112 0 La autoridad de control podrá solicitar a las Instituciones Públicas que elaboren y publiquen informes sobre el impacto de la protección de datos personales y sugerir la adopción de normas y buenas prácticas para el tratamiento de datos personales por parte de la Administración Pública.
CAPÍTULO II. DISPOSICIONES APLICABLES A LAS FUERZAS ARMADAS, ORGANISMOS POLICIALES Y DE INTELIGENCIA
Artículo 33. De los tratamientos de datos personales con fines de defensa nacional o seguridad pública.
¶ 113 Deja un comentario en Párrafo 113 0 El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales e inteligencia, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios y proporcionales para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.
¶ 114 Deja un comentario en Párrafo 114 0 Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
¶ 115 Deja un comentario en Párrafo 115 0 Los responsables de las bases de datos que contengan los datos a los que se refiere en el presente artículo podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
¶ 116 Deja un comentario en Párrafo 116 0 La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.
¶ 117 Deja un comentario en Párrafo 117 0 En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.
¶ 118 Deja un comentario en Párrafo 118 0 El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos podrá ponerlo en conocimiento de la Autoridad de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.
Artículo 34. De la seguridad de alto nivel de las bases de datos
¶ 119 Deja un comentario en Párrafo 119 0 Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
TÍTULO V. DERECHO DE LOS TITULARES DE DATOS
CAPÍTULO I – EJERCICIO DE LOS DERECHOS
Artículo 35. Disposiciones Generales Sobre El Ejercicio De Los Derechos
¶ 120 Deja un comentario en Párrafo 120 0 El titular de datos o su representante podrán, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.
¶ 121 Deja un comentario en Párrafo 121 0 El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.
¶ 122 Deja un comentario en Párrafo 122 0 El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.
¶ 123 Deja un comentario en Párrafo 123 0 El responsable tendrá un plazo de 30 (treinta) días corridos computados desde la presentación de la solicitud para dar respuesta a la solicitud del Titular.
¶ 124 Deja un comentario en Párrafo 124 0 Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control o podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite ante la autoridad de control.
¶ 125 Deja un comentario en Párrafo 125 0 El ejercicio de los derechos previstos en el presente capítulo en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.
Artículo 36. Derecho a la Información
¶ 126 Deja un comentario en Párrafo 126 0 El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.
¶ 127 Deja un comentario en Párrafo 127 0 El responsable proporcionará al titular, al menos, la información siguiente:
¶ 128 Deja un comentario en Párrafo 128 0 a. Su identidad y datos de contacto que son el domicilio legal, número de teléfono y correo electrónico.
¶ 129 Deja un comentario en Párrafo 129 0 b. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales.
¶ 130 Deja un comentario en Párrafo 130 0 c. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.
¶ 131 Deja un comentario en Párrafo 131 0 d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.
¶ 132 Deja un comentario en Párrafo 132 0 e. Tiempo de conservación de los datos personales.
¶ 133 Deja un comentario en Párrafo 133 0 En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.
¶ 134 Deja un comentario en Párrafo 134 0 La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.
¶ 135 Deja un comentario en Párrafo 135 0 Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.
Artículo 37. Derecho De Acceso
¶ 136 Deja un comentario en Párrafo 136 0 El titular de datos tendrá el derecho a solicitar y obtener sus datos personales que obren en posesión del responsable. Previa acreditación de su identidad, la información deberá ser suministrada en forma clara, inteligible y exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:
- Las finalidades del tratamiento de datos;
- Las categorías de datos personales de que se trate;
- Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;
- El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;
- La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;
- El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;
- Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 22 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.
¶ 138 Deja un comentario en Párrafo 138 0 En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos. La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin.
Artículo 38. Derecho De Rectificación
¶ 139 Deja un comentario en Párrafo 139 0 El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.
¶ 140 Deja un comentario en Párrafo 140 0 En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado conocimiento efectivo del error o la desactualización.
¶ 141 Deja un comentario en Párrafo 141 0 Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el
¶ 142 Deja un comentario en Párrafo 142 0 responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.
Artículo 39. Derecho De Oposición
¶ 143 Deja un comentario en Párrafo 143 0 El titular de datos puede oponerse al tratamiento de sus datos personales, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del interesado o para el establecimiento, ejercicio o defensa de reclamaciones legales.
¶ 144 Deja un comentario en Párrafo 144 0 Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines en un plazo de 30 (treinta) días corridos desde el envío de la solicitud de oposición.
Artículo 40. Derecho De Supresión
¶ 145 Deja un comentario en Párrafo 145 0 El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.
¶ 146 Deja un comentario en Párrafo 146 0 Solo podrá requerirse en estos casos:
- El tratamiento no cumpla con los principios de lealtad, transparencia y legitimidad;
- Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
- Haya vencido el plazo de conservación de los datos personales;
- El titular de datos haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna o éste no se ampare en otro fundamento jurídico;
- El titular de los datos haya ejercido su derecho de oposición conforme al artículo 40, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;
- Los datos personales hayan sido tratados ilícitamente;
- Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.
¶ 148 Deja un comentario en Párrafo 148 0 La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.
¶ 149 Deja un comentario en Párrafo 149 0 La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.
Artículo 41. Derecho a la Portabilidad
¶ 150 Deja un comentario en Párrafo 150 0 Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.
¶ 151 Deja un comentario en Párrafo 151 0 No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.
¶ 152 Deja un comentario en Párrafo 152 0 Este derecho no procederá cuando:
- Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;
- Vulnere la privacidad de otro titular de los datos;
- Vulnere las obligaciones legales del responsable o encargado del tratamiento,
- Impida que el responsable y/o encargado del tratamiento proteja sus derechos, su seguridad o sus bienes, o los del titular de los datos o tercero,
- Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.
Artículo 42. Derecho a no ser objeto de decisiones individuales automatizadas
¶ 154 Deja un comentario en Párrafo 154 0 El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.
¶ 155 Deja un comentario en Párrafo 155 0 No se aplica lo anterior cuando el tratamiento automatizado de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, en la que se regularán, en su caso, garantías adicionales para los derechos, libertades y los intereses legítimos de los titulares, o bien, se base en el consentimiento expreso del titular de datos.
¶ 156 Deja un comentario en Párrafo 156 0 No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.
¶ 157 Deja un comentario en Párrafo 157 0 El responsable no podrá llevar a cabo tratamientos automatizados de datos personales sensibles.
TÍTULO VI. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
CAPÍTULO I. DISPOSICIONES GENERALES. MEDIDAS DE RESPONSABILIDAD ACTIVA
Artículo 43. Medidas para el cumplimiento de la responsabilidad activa
¶ 158 Deja un comentario en Párrafo 158 0 Los responsables determinarán las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y el la consulta previa a que se refieren los artículos 49 y 50 de la presente ley.
¶ 159 Deja un comentario en Párrafo 159 0 Las medidas deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.
¶ 160 Deja un comentario en Párrafo 160 0 Deben contemplar, como mínimo:
- La adopción de procesos internos para llevar adelante de manera efectiva la responsabilidad activa, incluyendo las medidas de privacidad por diseño y por defecto;
- La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;
- La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.
- La revisión periódica de las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.
- La implementación de sistemas de administración de riesgos asociados al tratamiento de datos personales.
¶ 162 Deja un comentario en Párrafo 162 0 Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.
¶ 163 Deja un comentario en Párrafo 163 0 Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
Artículo 44. Protección de datos desde el diseño y por defecto
¶ 164 Deja un comentario en Párrafo 164 0 El responsable del tratamiento debe aplicar, desde el diseño, medidas técnicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.
¶ 165 Deja un comentario en Párrafo 165 0 El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas físicas.
Artículo 45. Mecanismos de autorregulación vinculantes
¶ 166 Deja un comentario en Párrafo 166 0 El responsable o encargado del tratamiento podrá adherirse, de manera voluntaria, a mecanismos de autorregulación vinculante, que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.
¶ 167 Deja un comentario en Párrafo 167 0 Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.
¶ 168 Deja un comentario en Párrafo 168 0 Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.
¶ 169 Deja un comentario en Párrafo 169 0 Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.
Artículo 46. Seguridad del tratamiento
¶ 170 Deja un comentario en Párrafo 170 0 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
¶ 172 Deja un comentario en Párrafo 172 0 Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
¶ 173 Deja un comentario en Párrafo 173 0 La adhesión a un código de conducta o a un mecanismo de certificación aprobado por la autoridad de control podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el presente artículo.
¶ 174 Deja un comentario en Párrafo 174 0 El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de la legislación nacional.
Artículo 47. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
¶ 175 Deja un comentario en Párrafo 175 0 En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
¶ 176 Deja un comentario en Párrafo 176 0 El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
¶ 177 Deja un comentario en Párrafo 177 0 La notificación deberá , como mínimo:
- Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- Describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
¶ 179 Deja un comentario en Párrafo 179 0 Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
¶ 180 Deja un comentario en Párrafo 180 0 El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Artículo 48. Comunicación de una violación de la seguridad de los datos personales al Titular
¶ 181 Deja un comentario en Párrafo 181 0 Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al Titular sin dilación indebida.
¶ 182 Deja un comentario en Párrafo 182 0 La comunicación al Titular contemplada en el presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo xx, incisos b), c) y d).
¶ 183 Deja un comentario en Párrafo 183 0 La comunicación al Titular a que se refiere el presente artículo no será necesaria si se cumple alguna de las condiciones siguientes:
- el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el presente artículo;
- suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Titulares.
¶ 185 Deja un comentario en Párrafo 185 0 Cuando el responsable todavía no haya comunicado al Titular la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el tercer párrafor referente a las comunicaciones.
Artículo 49. Evaluación De Impacto
¶ 186 Deja un comentario en Párrafo 186 0 Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:
¶ 187 Deja un comentario en Párrafo 187 0 a- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
¶ 188 Deja un comentario en Párrafo 188 0 b- Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o administrativas
¶ 189 Deja un comentario en Párrafo 189 0 c- Observación sistemática a gran escala de una zona de acceso público.
¶ 190 Deja un comentario en Párrafo 190 0 La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.
¶ 191 Deja un comentario en Párrafo 191 0 La evaluación debe incluir, como mínimo:
- Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;
- Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.
Artículo 50. Consulta Previa
¶ 193 Deja un comentario en Párrafo 193 0 El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 49 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
¶ 194 Deja un comentario en Párrafo 194 0 Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará la información siguiente:
- Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;
- Los fines y medios del tratamiento previsto;
- Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;
- En su caso, los datos de contacto del delegado de protección de datos;
- La evaluación de impacto relativa a la protección de datos.
- Cualquier otra información que solicite la autoridad de control.
¶ 196 Deja un comentario en Párrafo 196 0 Cuando la autoridad de control considere que el tratamiento previsto podría infringir la presente Ley, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de 60 (sesenta) días corridos desde la consulta, asesorar por escrito al responsable, y en su caso al encargado, de conformidad con las funciones establecidas en el el artículo 65 de la presente ley. Dicho plazo podrá prorrogarse por 45 días corridos, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 30 (treinta) días corridos a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.
Artículo 51. Posición del Delegado de protección de datos.
¶ 197 Deja un comentario en Párrafo 197 0 El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
¶ 198 Deja un comentario en Párrafo 198 0 El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 53, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
¶ 199 Deja un comentario en Párrafo 199 0 El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
¶ 200 Deja un comentario en Párrafo 200 0 Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la presente Ley.
¶ 201 Deja un comentario en Párrafo 201 0 El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con la legislación nacional.
¶ 202 Deja un comentario en Párrafo 202 0 El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Artículo 52. Delegado De Protección De Datos
¶ 203 Deja un comentario en Párrafo 203 0 Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:
- Cuando revistan el carácter de autoridades u organismos públicos; excepto los tribunales que actúen en ejercicio de su función judicial;
- Se realice tratamiento a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales como parte de la actividad principal del responsable o encargado del tratamiento;
- las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de los titulares de datos a gran escala.
¶ 205 Deja un comentario en Párrafo 205 0 Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo 53.
¶ 206 Deja un comentario en Párrafo 206 0 Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa.
¶ 207 Deja un comentario en Párrafo 207 0 Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.
¶ 208 Deja un comentario en Párrafo 208 0 El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 53.
¶ 209 Deja un comentario en Párrafo 209 0 El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
¶ 210 Deja un comentario en Párrafo 210 0 El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
Artículo 53. Funciones Del Delegado De Protección De Datos
¶ 211 Deja un comentario en Párrafo 211 0 El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:
- Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.
- Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;
- Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;
- Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;
- Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;
- Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;
- Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.
- Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;
- Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.
¶ 213 Deja un comentario en Párrafo 213 0 El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
CAPÍTULO II. ENCARGADO DEL TRATAMIENTO
Artículo 54. Funciones del Encargado del Tratamiento
¶ 214 Deja un comentario en Párrafo 214 0 El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
¶ 215 Deja un comentario en Párrafo 215 0 El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.
¶ 216 Deja un comentario en Párrafo 216 0 El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo a la legislación nacional, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
- tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de la ley que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
- garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
- tomará todas las medidas necesarias de conformidad con el artículo 46 de seguridad de tratamiento;
- respetará las condiciones indicadas en el presente artículo para recurrir a otro encargado del tratamiento;
- asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los titulares establecidos en el Título V;
- ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en el 46 de seguridad del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
- a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de la ley;
- pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
¶ 218 Deja un comentario en Párrafo 218 0 En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe la presente Ley.
Artículo 55. Sub Encargado de Tratamiento
¶ 219 Deja un comentario en Párrafo 219 0 El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.
¶ 220 Deja un comentario en Párrafo 220 0 Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos.
Artículo 56. Representantes de responsables o encargados del tratamiento no establecidos en Paraguay
¶ 221 Deja un comentario en Párrafo 221 0 Cuando sea de aplicación el artículo 2, inciso b) el responsable o el encargado del tratamiento designará por escrito un representante en la República del Paraguay.
¶ 222 Deja un comentario en Párrafo 222 0 La obligación del presente artículo no será aplicable cuando:
- el tratamiento que sea ocasional, que no incluyan el manejo a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
- el tratamiento sea realizado por las autoridades o instituciones públicas.
¶ 224 Deja un comentario en Párrafo 224 0 El representante estará establecido en el territorio nacional cuando los titulares cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado estén en Paraguay. El responsable o encargado comunicará a la autoridad de control los datos de contacto de su representante. Las notificaciones o intimaciones serán realizadas en el domicilio del representante.
¶ 225 Deja un comentario en Párrafo 225 0 La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.
TÍTULO VII. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
Artículo 57. Reglas generales para las transferencias internacionales de datos personales
¶ 226 Deja un comentario en Párrafo 226 0 La transferencia internacional de datos personales se podrá realizar en cualquiera de los siguientes supuestos:
- El país u organización internacional o supranacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales;
- El exportador ofrezca garantías apropiadas al tratamiento de los datos personales, en cumplimiento de las condiciones mínimas y suficientes establecidas en esta ley.
¶ 228 Deja un comentario en Párrafo 228 0 En ausencia de una decisión adecuada o de garantías apropiadas establecidos en el inciso 2), la transferencia se podrá realizar si se cumple una de las condiciones siguientes:
- La transferencia sea necesaria para la cooperación jurídica internacional entre órganos de inteligencia pública, investigación y enjuiciamiento, de conformidad con los instrumentos del derecho internacional, con las debidas salvaguardas adicionales;
- La transferencia se encuentre prevista en esta ley u otras leyes, convenios o tratados internacionales en los que Paraguay sea parte;
- La transferencia sea necesaria, para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;
- La transferencia sea necesaria para proteger la vida o la seguridad física del titular o de un tercero,
- El titular del dato haya dado su consentimiento expreso, con información previa sobre el carácter internacional de la operación, distinguiéndose claramente de otros fines.
¶ 230 Deja un comentario en Párrafo 230 0 El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.
Artículo 58. Carácter adecuado del país u organismo receptor
¶ 231 Deja un comentario en Párrafo 231 0 El nivel de protección de datos del país extranjero o de la organización internacional o supranacional a que se refiere el inciso 1 del art. 57 de esta Ley, será evaluada por la autoridad de control, a pedido de parte interesada o de oficio, la cual tendrá en cuenta:
¶ 232 Deja un comentario en Párrafo 232 0 a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;
¶ 233 Deja un comentario en Párrafo 233 0 b) la naturaleza de los datos;
¶ 234 Deja un comentario en Párrafo 234 0 c) observancia de los principios generales de protección de datos personales y derechos de los titulares previstos en esta Ley;
¶ 235 Deja un comentario en Párrafo 235 0 d) la adopción de las medidas de seguridad previstas en los reglamentos;
¶ 236 Deja un comentario en Párrafo 236 0 e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y
¶ 237 Deja un comentario en Párrafo 237 0 f) otras circunstancias específicas relacionadas con la transferencia.
Artículo 59. Transferencias mediante garantías adecuadas.
¶ 238 Deja un comentario en Párrafo 238 0 Las garantías adecuadas de conformidad al inciso 2 del artículo 57 podrán ser aportadas, sin que se requiera ninguna autorización expresa de la autoridad de control, por:
- un instrumento jurídicamente vinculante y exigible entre las autoridades o instituciones públicos;
- mecanismos de autorregulación vinculantes de conformidad con el artículo 45;
- cláusulas tipo de protección de datos adoptadas por la autoridad de control
- un código de conducta aprobado con arreglo al artículo 65, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
- un mecanismo de certificación aprobado por la autoridad de control, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
¶ 240 Deja un comentario en Párrafo 240 0 Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el inciso 2 del artículo 57, podrán igualmente ser aportadas, en particular, mediante:
- cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o supranacional, o
- disposiciones que se incorporen en acuerdos administrativos entre las autoridades o instituciones públicas que incluyan derechos efectivos y exigibles para los interesados.
Artículo 60. Cambios de las garantías
¶ 242 Deja un comentario en Párrafo 242 0 Los cambios en las garantías que se presenten como suficientes para cumplir con los principios generales de protección y los derechos del titular a que se refiere el inciso 2 del art. 57 de esta Ley debe ser comunicada a la autoridad de control.
Artículo 61. Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales
¶ 243 Deja un comentario en Párrafo 243 0 A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente Ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.
TÍTULO VIII. AUTORIDAD DE PROTECCIÓN DE DATOS
CAPÍTULO I. AUTORIDAD DE CONTROL
Artículo 62. Naturaleza de la Autoridad de control y supervisión
¶ 244 Deja un comentario en Párrafo 244 0 La Agencia de Protección de Datos Personales es un ente de derecho público y es el organismo encargado del control y cumplimiento de las leyes en materia de protección de datos personales con plena autonomía e independencia en el ejercicio de sus funciones.
¶ 245 Deja un comentario en Párrafo 245 0 Compete a la Agencia de Protección de Datos Personalesel ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos.
¶ 246 Deja un comentario en Párrafo 246 0 Le corresponde así también la asistencia técnica a cualquier institución que lo solicite para la protección de datos personales.
¶ 247 Deja un comentario en Párrafo 247 0 La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.
Artículo 63. Nombramiento de Autoridades en materia de protección de datos personales
¶ 248 Deja un comentario en Párrafo 248 0 La Agencia de Datos Personales estará conformada por un Director o una Directora y un Subdirector o una Subdirectora, quienes deberán ser de nacionalidad paraguaya, de 30 (treinta) años cumplidos y deberán contar con antecedentes personales, profesionales y de conocimiento, en particular respecto al ámbito de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.
¶ 249 Deja un comentario en Párrafo 249 0 Para su elección, el Poder Ejecutivo remitirá a la Cámara de Senadores una lista de (3) tres candidatos a Director o Directora y tres candidatos a Subdirector o Subdirectora, de entre los cuales la Cámara de Senadores elegirá a uno para cada cargo por mayoría absoluta.
Artículo 64. Duración del mandato y remoción de las autoridades
¶ 250 Deja un comentario en Párrafo 250 0 El Director o la Directora y el Subdirector o la Subdirectora durarán 5 (cinco) años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción en los casos de mal desempeño de sus funciones o la comisión de delitos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.
¶ 251 Deja un comentario en Párrafo 251 0 Causales de Remoción: El directora o la directora y el subdirector o subdirectora podrán ser removidos, por faltas graves e irregularidades cometidas en el ejercicio de sus funciones, por las causas siguientes:
¶ 252 Deja un comentario en Párrafo 252 0 a) El desempeño de un empleo, cargo o comisión distinto de lo previsto en esta Ley, excepto la docencia a tiempo parcial.
¶ 253 Deja un comentario en Párrafo 253 0 b) Utilizar en beneficio propio o de terceros la información confidencial de que disponga en razón de su cargo,
¶ 254 Deja un comentario en Párrafo 254 0 c) Ausentarse de sus labores sin mediar permiso, causa de fuerza mayor o motivo justificado.
¶ 255 Deja un comentario en Párrafo 255 0 d) incapacidad sobrevenida para el ejercicio de su función,
¶ 256 Deja un comentario en Párrafo 256 0 e) condena firme por delito doloso.
¶ 257 Deja un comentario en Párrafo 257 0 En caso de incurrir en las conductas descritas en el párrafo anterior, se aplicarán análogamente las mismas sanciones establecidas en la Ley No 1626/00 “DE LA FUNCIÓN PÚBLICA”.
Artículo 65. Facultades de la Autoridad de Control
¶ 258 Deja un comentario en Párrafo 258 0 La Agencia de Protección de Datos Personales cuenta con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de la presente ley, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.
¶ 259 Deja un comentario en Párrafo 259 0 La autoridad de control tendrá las siguientes funciones y atribuciones:
¶ 260 Deja un comentario en Párrafo 260 0 a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los
¶ 261 Deja un comentario en Párrafo 261 0 medios legales de que disponen para la defensa de sus derechos;
¶ 262 Deja un comentario en Párrafo 262 0 b. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de las actividades
¶ 263 Deja un comentario en Párrafo 263 0 comprendidas por esta Ley; específicamente, dictar normas administrativas y de procedimiento
¶ 264 Deja un comentario en Párrafo 264 0 relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento
¶ 265 Deja un comentario en Párrafo 265 0 de datos y condiciones de seguridad de las bases de datos;
¶ 266 Deja un comentario en Párrafo 266 0 c. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los
¶ 267 Deja un comentario en Párrafo 267 0 términos de la presente Ley;
¶ 268 Deja un comentario en Párrafo 268 0 d. Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente Ley y las normas que dicte la autoridad de control;
¶ 269 Deja un comentario en Párrafo 269 0 e. Solicitar información a las instituciones públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le
¶ 270 Deja un comentario en Párrafo 270 0 requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;
¶ 271 Deja un comentario en Párrafo 271 0 f. Imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente Ley y de las reglamentaciones que se dicten en su consecuencia;
¶ 272 Deja un comentario en Párrafo 272 0 g. Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente Ley;
¶ 273 Deja un comentario en Párrafo 273 0 h. Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento con lo dispuesto en el artículo 45;
¶ 274 Deja un comentario en Párrafo 274 0 I. Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 49,
¶ 275 Deja un comentario en Párrafo 275 0 j. Solicitar información a los Delegados de Protección de Datos, en los términos de lo previsto en la
¶ 276 Deja un comentario en Párrafo 276 0 presente Ley.
¶ 277 Deja un comentario en Párrafo 277 0 k. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, de carácter internacional o transnacional, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;
¶ 278 Deja un comentario en Párrafo 278 0 l.Preparar informes anuales de gestión sobre sus actividades;
¶ 279 Deja un comentario en Párrafo 279 0 m. Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a la protección de datos personales.
¶ 280 Deja un comentario en Párrafo 280 0 n. Colaborar con el Ministerio de Tecnologías de la Información y Comunicación en las políticas públicas, investigación y en la gestión de seguridad de la información y ciberseguridad sobre las infraestructuras de bases de datos que contengan datos personales para la adecuada protección de los mismo.
¶ 281 Deja un comentario en Párrafo 281 0 Las decisiones de la autoridad de control únicamente estarán sujetas al control jurisdiccional, una vez agotada la instancia administrativa, debiendo promoverse la acción dentro de los dieciocho días hábiles ante el Tribunal de Cuentas.
Artículo 66: De las funciones del Director o de la Directora
¶ 282 Deja un comentario en Párrafo 282 0 Le corresponde al Director o la Directora:
- Representar a la Agencia en todos los actos en que ella intervenga,
- Dirigir las actividades de la institución y nombrar al personal de conformidad a lo establecido en esta Ley.
- Controlar y hacer aplicar la presente ley.
- Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
- Brindar información y tratar las reclamaciones de cualquier titular en relación con el ejercicio de sus derechos en virtud de la presente ley.
- Desempeñar cualquier otra función relacionada con la protección de los datos personales.
¶ 284 Deja un comentario en Párrafo 284 0 El Director se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.
Artículo 67: De las funciones del Subdirector o de la Subdirectora
¶ 285 Deja un comentario en Párrafo 285 0 Al Subdirector o la Subdirectora le corresponde sustituir al Director o Directora en caso de impedimento, ausencia temporal o vacancia definitiva, asumiendo de inmediato todas sus atribuciones, cooperar con la labor de conformidad a esta Ley; y supervisar el funcionamiento de las distintas dependencias de la Agencia de Protección de Datos Personales.
Artículo 68. De los recursos de la Agencia de Protección de Datos Personales
¶ 286 Deja un comentario en Párrafo 286 0 Los recursos financieros de la Agencia de Proteccion de Datos Personales estarán constituidos por:
- Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación para el mantenimiento e incremento de sus funciones.
- Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en esta Ley.
- Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional.
TÍTULO IX. RECLAMACIONES Y SANCIONES
Artículo 69. Régimen de reclamaciones y de imposición de sanciones
¶ 288 Deja un comentario en Párrafo 288 0 El titular de los datos o su representante legal puede iniciar una reclamación ante la autoridad de control, así como recurrir a la tutela judicial para hacer efectivos sus derechos conforme a las normas establecidas en la presente ley.
Artículo 70. Procedimiento para la reclamación
¶ 289 Deja un comentario en Párrafo 289 0 La reclamación será presentada por escrito o por medio informático, en la plataforma habilitada por la Autoridad de Control y deberá ser respondida por el medio elegido por el solicitante dentro del plazo de 15 (quince) días hábiles.
¶ 290 Deja un comentario en Párrafo 290 0 La autoridad encargada podrá requerir las informaciones a instituciones públicas y a particulares, que deberán responder dentro del plazo de 15 (quince) días hábiles. La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.
¶ 291 Deja un comentario en Párrafo 291 0 La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias. La Autoridad de Control reglamentará el procedimiento a seguirse.
Artículo 71. Régimen de faltas y sanciones
¶ 292 Deja un comentario en Párrafo 292 0 La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas de las personas físicas y jurídicas que contravengan lo dispuesto en la presente ley.
Artículo 72. Faltas leves
¶ 293 Deja un comentario en Párrafo 293 0 Se consideran faltas leves y prescribirán al año, las siguientes infracciones:
¶ 294 Deja un comentario en Párrafo 294 0 1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.
¶ 295 Deja un comentario en Párrafo 295 0 2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.
¶ 296 Deja un comentario en Párrafo 296 0 3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
¶ 297 Deja un comentario en Párrafo 297 0 4. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por los artículos 38 y 39 de esta ley.
¶ 298 Deja un comentario en Párrafo 298 0 5. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
¶ 299 Deja un comentario en Párrafo 299 0 6. La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 47 de la presente ley.
Artículo 73. Faltas graves
¶ 300 Deja un comentario en Párrafo 300 0 Se consideran graves y prescribirán a los dos años, las siguientes infracciones:
- Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las bases legales establecidas en esta ley.
- Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.
- Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular.
- Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.
- Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.
- El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.
- El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
- La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
- El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.
- El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 56 de la presente ley.
- La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo 54 de esta ley.
- Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo 54 de esta ley.
- La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
- El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
- El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 47 de la presente ley.
- El incumplimiento del deber de comunicación al Titular de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 48 de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
- El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
- El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.
- El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 52 de esta ley.
- No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
- La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
- Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos en la presente ley.
Artículo 74. Faltas muy graves
¶ 302 Deja un comentario en Párrafo 302 0 Se consideran muy graves y prescribirán a los tres años, las siguientes infracciones:
- Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las bases legales establecidas en la legislación vigente.
- Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
- Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.
- Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.
- Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido.
- El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento.
- La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
- El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el artículo 29.
- La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 36 de esta ley.
- La vulneración del principio de confidencialidad establecido en el artículo 15 de esta ley.
- La exigencia del pago de un canon para facilitar al Titular un informe sobre el uso de su información.
- La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos y excepciones establecidos en los artículos 57 y 59 de esta ley.
- No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.
- La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.
- La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la reidentificación de los titulares.
Artículo 75. Incumplimiento de autoridad pública
¶ 304 Deja un comentario en Párrafo 304 0 Las sanciones indicadas en este capítulo sólo se aplican a las personas de naturaleza privada. En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de una autoridad pública, actuará de conformidad con el artículo 33.
Artículo 76. Sanciones
¶ 305 Deja un comentario en Párrafo 305 0 Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:
- Apercibimiento como primera instancia;
- Multas:
- Para las faltas leves, hasta 500 (quinientos) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.
- Para las faltas graves, hasta 10.000 (diez mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.
- Para las faltas muy graves, hasta 35.000 (treinta y cinco mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de uno a 6 (seis) meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.
- Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse;
- Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control;
- Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
Artículo 77: Criterios para las sanciones.
¶ 307 Deja un comentario en Párrafo 307 0 Las sanciones se aplicarán luego de un procedimiento administrativo que permita la oportunidad de una amplia defensa, de manera gradual, aislada o acumulativa, según las peculiaridades del caso específico y considerando los siguientes parámetros y criterios:
- la gravedad y naturaleza de las infracciones y los derechos personales afectados;
- la buena fe del infractor;
- la ventaja obtenida o pretendida por el infractor;
- la situación económica del infractor;
- reincidencia;
- el grado de daño;
- la cooperación del infractor;
- la adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;
- la adopción de una política de buenas prácticas o código de conductas;
- la pronta adopción de medidas correctivas;
- la proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.
TÍTULO X. DISPOSICIONES FINALES
Artículo 78. Disposiciones finales
¶ 309 Deja un comentario en Párrafo 309 0 La presente Ley entrará en vigencia luego de transcurridos 12 (doce) meses de su publicación oficial.
Artículo 79. Reglamentación
¶ 310 Deja un comentario en Párrafo 310 0 El Poder Ejecutivo reglamentará la presente Ley en un plazo máximo de 90 (noventa) días desde su publicación oficial.
Sería una cuestión de buena técnica legislativa precisar el ámbito de aplicación del presente articulado, esto es, se podría detallar que aquí se trata del ámbito de aplicación “territorial” [en el presente proyecto de ley no hay ámbito de aplicación material]