Versión para Imprimir

¶ 1 Deja un comentario en Párrafo 1 0 .

Actualmente, la última versión del borrador de proyecto de ley no estará incorporando nuevos comentarios emitidos en la página web. Los comentarios vertidos en las versiones anteriores han sido debidamente analizados por la Coalición de Datos Personales para nutrir esta versión final

Agradecimiento

¶ 3 Deja un comentario en Párrafo 3 0 A LAS PERSONAS QUE ENVIARON COMENTARIOS:

¶ 4 Deja un comentario en Párrafo 4 0 Marlene Samaniego, Bruno Duarte, Gaspar Pisanu, Gonzalo Fleitas, Jose Fernando Casañas Levi, Marcelo Galvan, Paloma Lara Castro, Miguel Candia, Pablo Palazzi, Stael Olmedo Cabral, Dolores Dozo, Ralf Sauer, Manuel García-Sánchez, Pablo Lacasa.

¶ 5 Deja un comentario en Párrafo 5 0 A LAS INSTITUCIONES PÚBLICAS QUE ENVIARON COMENTARIOS:

¶ 6 Deja un comentario en Párrafo 6 0 Asociación de Bancos del Paraguay, Banco Central del Paraguay, Comisión Nacional de Telecomunicaciones, Despacho del Dip.Edwin Reimer, Dirección Nacional de Propiedad Intelectual, Dirección General de los Registros Públicos, Ministerio de Hacienda, Ministerio de Relaciones Exteriores, Ministerio Público, Ministerio de Salud Pública y Bienestar Social, Ministerio de Tecnologías y Comunicaciones, Instituto de Previsión Social, Dirección General del Registro del Estado Civil.

¶ 7 Deja un comentario en Párrafo 7 0 REDACCIÓN DEL BORRADOR:

¶ 8 Deja un comentario en Párrafo 8 0 Cecilia Abente, Mariel Aranda, Natalia Enciso, Miguel Angel Gaspar, Adriana Marecos y Alberto Poletti.

¶ 9 Deja un comentario en Párrafo 9 0 EDICION FINAL:

¶ 10 Deja un comentario en Párrafo 10 0 Cecilia Abente, Luis Alonzo, Eduardo Carrillo, Natalia Enciso, Marlene Samaniego y Maricarmen Sequera.

TÍTULO I. DISPOSICIONES GENERALES.

Artículo 1. Objeto de La Ley

¶ 11 Deja un comentario en Párrafo 11 0 La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de los derechos de sus titulares, y la libre circulación de tales datos, de conformidad a lo establecido en la Constitución Nacional y los Tratados Internacionales de los cuales la República del Paraguay es parte.

Artículo 2. Ámbito de Aplicación

¶ 12 Deja un comentario en Párrafo 12 0 Las normas de la presente ley serán de aplicación cuando:

¶ 13 Deja un comentario en Párrafo 13 0 a. El responsable o encargado del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

¶ 14 Deja un comentario en Párrafo 14 0 b. El responsable o encargado del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional o derivado de la celebración de un contrato;

¶ 15 Deja un comentario en Párrafo 15 0 c. El responsable o encargado no se encuentre establecido en territorio nacional y las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes, o bien,

¶ 16 Deja un comentario en Párrafo 16 0 estén relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en la República del Paraguay, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

¶ 17 Deja un comentario en Párrafo 17 0 d. El responsable o encargado no se encuentre establecido en territorio nacional y utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.

Artículo 3. Excepciones a la ley

¶ 18 Deja un comentario en Párrafo 18 0 Se consideran exentos de aplicación de la presente ley, el tratamiento de datos cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.

Artículo 4. Limitaciones al derecho de la protección de datos

¶ 19 Deja un comentario en Párrafo 19 0 La legislación nacional que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en el Título V y los principios establecidos en el Título II, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

¶ 20 Deja un comentario en Párrafo 20 0 a) la seguridad del Estado;

¶ 21 Deja un comentario en Párrafo 21 0 b) la defensa;

¶ 22 Deja un comentario en Párrafo 22 0 c) la seguridad pública;

¶ 23 Deja un comentario en Párrafo 23 0 d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

¶ 24 Deja un comentario en Párrafo 24 0 e) otros objetivos de interés público, en particular un interés económico o financiero importante, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

¶ 25 Deja un comentario en Párrafo 25 0 f) la protección de la independencia judicial y de los procedimientos judiciales;

¶ 26 Deja un comentario en Párrafo 26 0 g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

¶ 27 Deja un comentario en Párrafo 27 0 h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en los incisos a) al e) y g);

¶ 28 Deja un comentario en Párrafo 28 0 i) la protección del titular del dato o de los derechos y libertades de otros;

¶ 29 Deja un comentario en Párrafo 29 0 j) la ejecución de demandas civiles.

¶ 30 Deja un comentario en Párrafo 30 0 Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:

0. ¶ 31 Deja un comentario en Párrafo 31 0
1. La finalidad del tratamiento.
2. Las categorías de datos personales de que se trate.
3. El alcance de las limitaciones establecidas.
4. Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.
5. La determinación del responsable o responsables.
6. Los plazos de conservación de los datos personales.
7. Los posibles riesgos para los derechos y libertades de los titulares.
8. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.

Artículo 5. Definiciones

¶ 32 Deja un comentario en Párrafo 32 0 A los efectos de la presente ley, se consideran las siguientes definiciones:

0. ¶ 33 Deja un comentario en Párrafo 33 0
1. Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.
2. Datos Personales: datos que colaboren para identificar a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto también incluye metadatos y fragmentos de datos.
3. Datos personales sensibles: son los referentes a pertenencias raciales o étnicas, preferencias  políticas, convicciones religiosas, filosófica o morales; participación o afiliación en una organización sindical o política; información referente a la salud, la preferencia o vida sexual, datos biométricos y genéticos vinculados a una persona física y, en general, los que fomenten prejuicios y discriminaciones ilícitas o arbitrarias,
4. Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
5. Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
6. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
7. Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa realizada por escrito o por medios electrónicos, así como por cualquier forma similar que la tecnología permita, el tratamiento de los datos personales que le conciernen.
8. Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.
9. Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales en representación o mandato del responsable del tratamiento.
10. Representante: persona física o jurídica establecida en la República del Paraguay que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento, represente a los mismos en lo que respecta a sus respectivas obligaciones en virtud de la presente ley.
11. Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.
12. Elaboración De Perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.
13. Normas de autorregulación Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio nacional para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
14. Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.
15. Bloqueo de datos: La identificación y reserva de datos personales con el fin de impedir su tratamiento.
16. Fuente de acceso público: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, conforme a la Ley Nº5282/2014 “De libre acceso ciudadano a la información pública y transparencia gubernamental”.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Artículo 6. Principio de exactitud de los datos

¶ 34 Deja un comentario en Párrafo 34 0 Los datos personales serán exactos, completos y actualizados. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

¶ 35 Deja un comentario en Párrafo 35 0 Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

Artículo 7. Principio de licitud del tratamiento

¶ 36 Deja un comentario en Párrafo 36 0 Para que el tratamiento sea lícito, los datos personales deben ser tratados conforme a las bases jurídicas previstas en la presente ley en el artículo 16.

Artículo 8. Principio de finalidad

¶ 37 Deja un comentario en Párrafo 37 0 Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Artículo 9. Principio de proporcionalidad

¶ 38 Deja un comentario en Párrafo 38 0 El responsable y el encargado tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

¶ 39 Deja un comentario en Párrafo 39 0 Asimismo, los datos deberán someterse a revisión periódica para determinar si continúan cumpliendo la finalidad.

Artículo 10. Principio de lealtad

¶ 40 Deja un comentario en Párrafo 40 0 No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos. Para los efectos de la presente ley, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

Artículo 11. Principio de transparencia

¶ 41 Deja un comentario en Párrafo 41 0 El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Artículo 12. Limitación del plazo de conservación

¶ 42 Deja un comentario en Párrafo 42 0 No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La Autoridad de Control deberá establecer los plazos para la supresión y/o revisión periódica.

¶ 43 Deja un comentario en Párrafo 43 0 El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados o seudonimizado.

Artículo 13. Principio de responsabilidad proactiva

¶ 44 Deja un comentario en Párrafo 44 0 El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

Artículo 14. Principio de seguridad

¶ 45 Deja un comentario en Párrafo 45 0 En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.

¶ 46 Deja un comentario en Párrafo 46 0 Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:

¶ 47 Deja un comentario en Párrafo 47 0 a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

¶ 48 Deja un comentario en Párrafo 48 0 b. El estado de la técnica.

¶ 49 Deja un comentario en Párrafo 49 0 c. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

¶ 50 Deja un comentario en Párrafo 50 0 d. El alcance, contexto y las finalidades del tratamiento.

¶ 51 Deja un comentario en Párrafo 51 0 e. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

¶ 52 Deja un comentario en Párrafo 52 0 f. El número de titulares.

¶ 53 Deja un comentario en Párrafo 53 0 g. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

¶ 54 Deja un comentario en Párrafo 54 0 h. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

¶ 55 Deja un comentario en Párrafo 55 0 El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

¶ 56 Deja un comentario en Párrafo 56 0 Las condiciones técnicas de integridad y seguridad que deban reunir las bases de datos serán reguladas por la Autoridad de Control.

Artículo 15. Principio de confidencialidad

¶ 57 Deja un comentario en Párrafo 57 0 Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por decisión de un juez o tribunal.

TÍTULO III. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES

Artículo 16. Bases legales para el tratamiento de datos personales

¶ 58 Deja un comentario en Párrafo 58 0 El tratamiento de datos personales sólo podrá realizarse si se cumple al menos una de los siguientes condiciones:

0. ¶ 59 Deja un comentario en Párrafo 59 0
1. mediante el consentimiento del titular;
2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;
3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Titulo IV, Capítulo I de esta Ley;
4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;
5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del mismo;
6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales,
7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria,
8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente;

¶ 60 Deja un comentario en Párrafo 60 0 Lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 17. Consentimiento

¶ 61 Deja un comentario en Párrafo 61 0 Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. 

¶ 62 Deja un comentario en Párrafo 62 0 No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

¶ 63 Deja un comentario en Párrafo 63 0 Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tendrá efectos retroactivos. 

¶ 64 Deja un comentario en Párrafo 64 0 En el caso de que se requiera consentimiento, si hay cambios en la finalidad para el tratamiento de datos personales que no sean compatibles con el consentimiento original, el responsable deberá informar al titular con anticipación sobre los cambios en la finalidad, y el titular puede revocar el consentimiento, si no está de acuerdo con los cambios.

¶ 65 Deja un comentario en Párrafo 65 0 El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección, siempre que se garantice la preservación de los derechos del titular, así como los fundamentos y principios establecidos en esta Ley. En ningún caso procederá para el tratamiento de datos sensibles.

¶ 66 Deja un comentario en Párrafo 66 0 Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

¶ 67 Deja un comentario en Párrafo 67 0 En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 18. Consentimiento de niños, niñas y adolescentes

¶ 68 Deja un comentario en Párrafo 68 0 En el tratamiento de datos personales de una niña, niño o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la Convención Sobre Los Derechos Del Niño y demás instrumentos internacionales firmados y ratificados por la República del Paraguay que busquen su bienestar y protección integral.

¶ 69 Deja un comentario en Párrafo 69 0 El tratamiento de los datos personales de los y las adolescentes podrá fundarse en su consentimiento a partir de los catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los niños y niñas de hasta trece años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.

¶ 70 Deja un comentario en Párrafo 70 0 El responsable y encargado deberán realizar esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.

Artículo 19. Interés legítimo

¶ 71 Deja un comentario en Párrafo 71 0 El interés legítimo del responsable del tratamiento sólo puede sustentar el tratamiento de datos personales con fines lícitos, considerados desde situaciones concretas y siempre que no prevalezca el interés o los derechos y libertades fundamentales del titular del dato, que incluyen, pero no se limitan a:

0. ¶ 72 Deja un comentario en Párrafo 72 0
1. Apoyo y promoción de las actividades del responsable del tratamiento; y
2. Protección, en relación con el titular, del ejercicio regular de sus derechos o prestación de los servicios que le beneficien, respetando sus legítimas expectativas y derechos y libertades fundamentales, en los términos de esta Ley.

¶ 73 Deja un comentario en Párrafo 73 0 Cuando el tratamiento se base en el interés legítimo del responsable del tratamiento, solo se podrán tratar los datos personales estrictamente necesarios para la finalidad prevista.

¶ 74 Deja un comentario en Párrafo 74 0 El responsable del tratamiento debe adoptar medidas para garantizar la transparencia del tratamiento de los datos en función de su interés legítimo.

¶ 75 Deja un comentario en Párrafo 75 0 La Autoridad de Control podrá solicitar al responsable del tratamiento un informe de impacto sobre la protección de datos personales, cuando el tratamiento se base en su interés legítimo, observando secretos comerciales e industriales.

¶ 76 Deja un comentario en Párrafo 76 0 El titular tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales basado en el interés legítimo del responsable.

TÍTULO IV: TRATAMIENTOS ESPECIALES

Artículo 20. Tratamiento de datos sensibles

¶ 77 Deja un comentario en Párrafo 77 0 A fin de evitar el tratamiento con fines discriminatorios, ilícitos o abusivos queda prohibido el tratamiento de datos personales sensibles salvo que:

0. ¶ 78 Deja un comentario en Párrafo 78 0
1. El titular haya dado su consentimiento explícito y por escrito para el tratamiento de dichos datos personales, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;
2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad social;
3. El tratamiento sea necesario para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;
4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;
5. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial, o en procesos administrativos o arbitrales;
6. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;
7. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
8. Se realice en el marco de asistencia humanitaria en casos de desastres naturales;
9. Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico o que hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley;
10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar anonimizados o seudonimizado;
11. El tratamiento compartido de los datos sea necesario para la ejecución, por parte de la administración pública, de las políticas públicas previstas en las leyes.

¶ 79 Deja un comentario en Párrafo 79 0 Se prohíbe la comunicación o uso compartido entre responsables del tratamiento de datos personales sensibles relacionados con la salud con el fin de obtener una ventaja económica, salvo en los casos relacionados con la prestación de servicios sanitarios, asistencia farmacéutica y asistencia sanitaria, incluidos los servicios auxiliares para el diagnóstico y la terapia, para el beneficio de los intereses de los titulares de los datos, y para permitir la portabilidad de datos cuando lo solicite el titular.

¶ 80 Deja un comentario en Párrafo 80 0 Se prohíbe a los operadores de planes de salud privados el procesamiento de datos de salud para la práctica de selección de riesgos al contratar cualquier modalidad, así como al contratar y excluir beneficiarios.

Artículo 21. Tratamiento de datos de información crediticia

¶ 81 Deja un comentario en Párrafo 81 0 Se remitirá a lo establecido en la ley Nº 6534/20 de Protección de Datos personales crediticios.

Artículo 22. Tratamiento de datos con fines de publicidad

¶ 82 Deja un comentario en Párrafo 82 0 Cuando los datos personales sean utilizados para perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en fuentes de acceso público o hayan sido obtenidos con el consentimiento de los propios titulares.

¶ 83 Deja un comentario en Párrafo 83 0 En toda comunicación con fines de publicidad que se realice por correo postal, teléfono, correo electrónico, Internet u otro medio de comunicación que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley.

¶ 84 Deja un comentario en Párrafo 84 0 El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de las bases de datos a los que se refiere el presente artículo. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, el responsable cumplirá con lo establecido en el artículo 39 del derecho de oposición.

¶ 85 Deja un comentario en Párrafo 85 0 Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.

Artículo 23. Tratamientos con fines de videovigilancia

¶ 86 Deja un comentario en Párrafo 86 0 Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

¶ 87 Deja un comentario en Párrafo 87 0 Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

¶ 88 Deja un comentario en Párrafo 88 0 No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

¶ 89 Deja un comentario en Párrafo 89 0 Los datos serán suprimidos en un plazo máximo de hasta 6 meses desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

¶ 90 Deja un comentario en Párrafo 90 0 Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

¶ 91 Deja un comentario en Párrafo 91 0 Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

CAPÍTULO I. DISPOSICIONES APLICABLES A LA ADMINISTRACIÓN PÚBLICA

Artículo 24. Tratamiento de datos personales por la administración pública

¶ 92 Deja un comentario en Párrafo 92 0 El tratamiento de los datos personales por la Administración Pública debe considerar la finalidad, la necesidad, la buena fe y el interés público, con el objetivo de ejecutar las facultades legales o cumplir con las atribuciones legales, siempre que:

0. ¶ 93 Deja un comentario en Párrafo 93 0
1. En ejercicio de sus competencias, realicen el tratamiento de datos personales, aportando información clara y actualizada sobre la disposición legal, finalidad, procedimientos y prácticas utilizadas para realizar estas actividades;
2. Designe un responsable para la realización de operaciones de tratamiento de datos personales, de conformidad con el 53, numeral 1 de esta Ley;
3. Los servicios notariales y registrales, que se realicen por delegación del Poder el Estado, tendrán el mismo tratamiento que las personas jurídicas de derecho público, en los términos de este Capítulo;
4. Los notarios y órganos registrales deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, a la vista de las finalidades a que se refiere el título de este artículo.
5. Las empresas públicas y las sociedades de capital mixto, cuando se encuentren operando políticas públicas y en el ámbito de su implementación, tendrán el mismo tratamiento que se le da a los órganos y entidades de la Administración Pública, en los términos de este Capítulo.

¶ 94 Deja un comentario en Párrafo 94 0 Los datos deben mantenerse en un formato interoperable y estructurado de uso compartido, con miras a la implementación de políticas públicas, la prestación de servicios públicos, la descentralización de la actividad pública y la difusión y acceso de la información al público en general.

¶ 95 Deja un comentario en Párrafo 95 0 La autoridad de control podrá solicitar, en cualquier momento, a los órganos y entidades de la Administración Pública para la realización de operaciones de tratamiento de datos personales, información específica sobre el alcance y naturaleza de los datos, garantías y demás detalles del tratamiento realizado.

¶ 96 Deja un comentario en Párrafo 96 0 La autoridad de control podrá establecer reglas complementarias para las actividades de comunicación y uso compartido de datos personales.

Artículo 25. Comunicación de datos personales entre instituciones públicas

¶ 97 Deja un comentario en Párrafo 97 0 Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:

0. ¶ 98 Deja un comentario en Párrafo 98 0
1. La institución pública titular de la base de datos haya obtenido los datos en ejercicio de sus funciones,
2. El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias,
3. Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario en relación a esta última finalidad.
4. El titular de los datos sensibles haya dado su consentimiento.

¶ 99 Deja un comentario en Párrafo 99 0 El uso compartido de datos personales por parte de la Administración Pública debe servir para fines específicos, para la ejecución de políticas públicas y atribución legal por parte de organismos y entidades públicas, respetando los principios de protección de datos personales enumerados en el Título II de esta Ley.

Artículo 26. Comunicación de datos personales a entidades privadas

¶ 100 Deja un comentario en Párrafo 100 0 Se prohíbe a la Administración Pública transferir a entidades privadas datos personales contenidos en bases de datos a las que tenga acceso, salvo:

0. ¶ 101 Deja un comentario en Párrafo 101 0
1. En los casos de ejecución descentralizada de la actividad pública que requiera la comunicación, exclusivamente para este fin específico y determinado, previsto en la ley y sujeta a salvaguardas específicas;
2. Cuando exista una disposición legal o la comunicación esté respaldada por contratos o convenios. Los contratos y acuerdos deben ser aprobados por la autoridad de control.

Artículo 27. Tratamiento de datos en el ámbito de la función estadística pública

¶ 102 Deja un comentario en Párrafo 102 0 El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.

¶ 103 Deja un comentario en Párrafo 103 0 Dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

¶ 104 Deja un comentario en Párrafo 104 0 Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de los derechos del Titular establecido en los artículos 35 al 42 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación específica.

Artículo 28. Tratamiento de datos con fines de archivo en interés Público por parte de las Administraciones Públicas

¶ 105 Deja un comentario en Párrafo 105 0 Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley y leyes específicas que incluyan salvaguardas para la protección de los derechos de los titulares.

Artículo 29. Tratamiento de datos de naturaleza penal

¶ 106 Deja un comentario en Párrafo 106 0 El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en esta ley o en otras normas de rango legal.

¶ 107 Deja un comentario en Párrafo 107 0 El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de Administración de Justicia.

¶ 108 Deja un comentario en Párrafo 108 0 Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 30. Tratamiento de datos relativos a infracciones y sanciones administrativas

¶ 109 Deja un comentario en Párrafo 109 0 El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:

0. ¶ 110 Deja un comentario en Párrafo 110 0
1. Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.
2. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

¶ 111 Deja un comentario en Párrafo 111 0 Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del titular del dato o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

¶ 112 Deja un comentario en Párrafo 112 0 Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 31. Infracción del tratamiento de los datos personales por parte de las Instituciones públicas

¶ 113 Deja un comentario en Párrafo 113 0 Cuando se produzca una infracción a esta ley como consecuencia del tratamiento de datos personales por parte de instituciones públicas. La autoridad de control dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte y sin perjuicio de la responsabilidad civil y penal en que haya incurrido.

Artículo 32. Informes sobre el Impacto de la protección de datos personales

¶ 114 Deja un comentario en Párrafo 114 0 La autoridad de control podrá solicitar a las Instituciones Públicas que elaboren y publiquen informes sobre el impacto de la protección de datos personales y sugerir la adopción de normas y buenas prácticas para el tratamiento de datos personales por parte de la Administración Pública.

CAPÍTULO II. DISPOSICIONES APLICABLES A LAS FUERZAS ARMADAS, ORGANISMOS POLICIALES Y DE INTELIGENCIA

Artículo 33. De los tratamientos de datos personales con fines de defensa nacional o seguridad pública

¶ 115 Deja un comentario en Párrafo 115 0 El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales e inteligencia, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios y proporcionales para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

¶ 116 Deja un comentario en Párrafo 116 0 Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

¶ 117 Deja un comentario en Párrafo 117 0 Los responsables de las bases de datos que contengan los datos a los que se refiere en el presente artículo podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

¶ 118 Deja un comentario en Párrafo 118 0 La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

¶ 119 Deja un comentario en Párrafo 119 0 En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

¶ 120 Deja un comentario en Párrafo 120 0 El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos podrá ponerlo en conocimiento de la Autoridad de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artículo 34. De la seguridad de las bases de datos

¶ 121 Deja un comentario en Párrafo 121 0 Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas adicionales de seguridad, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

TÍTULO V. DERECHO DE LOS TITULARES DE DATOS

CAPÍTULO I – EJERCICIO DE LOS DERECHOS

Artículo 35. Disposiciones Generales Sobre El Ejercicio De Los Derechos

¶ 122 Deja un comentario en Párrafo 122 0 El titular de datos o su representante podrán, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

¶ 123 Deja un comentario en Párrafo 123 0 El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

¶ 124 Deja un comentario en Párrafo 124 0 El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

¶ 125 Deja un comentario en Párrafo 125 0 El responsable tendrá un plazo de 30 (treinta) días corridos computados desde la presentación de la solicitud para dar respuesta a la solicitud del Titular.

¶ 126 Deja un comentario en Párrafo 126 0 Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control o podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite ante la autoridad de control.

¶ 127 Deja un comentario en Párrafo 127 0 El ejercicio de los derechos previstos en el presente capítulo en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

Artículo 36. Derecho a la Información

¶ 128 Deja un comentario en Párrafo 128 0 El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.

¶ 129 Deja un comentario en Párrafo 129 0 El responsable proporcionará al titular, al menos, la información siguiente:

¶ 130 Deja un comentario en Párrafo 130 0 a. Su identidad y datos de contacto que son el domicilio legal, número de teléfono y correo electrónico.

¶ 131 Deja un comentario en Párrafo 131 0 b. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales.

¶ 132 Deja un comentario en Párrafo 132 0 c. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

¶ 133 Deja un comentario en Párrafo 133 0 d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

¶ 134 Deja un comentario en Párrafo 134 0 e. Tiempo de conservación de los datos personales.

¶ 135 Deja un comentario en Párrafo 135 0 En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

¶ 136 Deja un comentario en Párrafo 136 0 La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

¶ 137 Deja un comentario en Párrafo 137 0 Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

Artículo 37. Derecho De Acceso

¶ 138 Deja un comentario en Párrafo 138 0 El titular de datos tendrá el derecho a solicitar y obtener sus datos personales que obren en posesión del responsable.Previa acreditación de su identidad, la información deberá ser suministrada en forma clara, inteligible y exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

0. ¶ 139 Deja un comentario en Párrafo 139 0
1. Las finalidades del tratamiento de datos;
2. Las categorías de datos personales de que se trate;
3. Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;
4. El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;
5. La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;
6. El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;
7. Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;
8. La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 22 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

¶ 140 Deja un comentario en Párrafo 140 0 En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos. La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, de imagen u otro idóneo a tal fin.

Artículo 38. Derecho De Rectificación

¶ 141 Deja un comentario en Párrafo 141 0 El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

¶ 142 Deja un comentario en Párrafo 142 0 En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado conocimiento efectivo del error o la desactualización.

¶ 143 Deja un comentario en Párrafo 143 0 Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el

¶ 144 Deja un comentario en Párrafo 144 0 responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

Artículo 39. Derecho De Oposición

¶ 145 Deja un comentario en Párrafo 145 0 El titular de datos puede oponerse al tratamiento de sus datos personales, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del titular del dato o para el establecimiento, ejercicio o defensa de reclamaciones legales.

¶ 146 Deja un comentario en Párrafo 146 0 Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines en un plazo de 30 (treinta) días corridos desde el envío de la solicitud de oposición.

Artículo 40. Derecho De Supresión

¶ 147 Deja un comentario en Párrafo 147 0 El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.

¶ 148 Deja un comentario en Párrafo 148 0 Solo podrá requerirse en los siguientes casos:

0. ¶ 149 Deja un comentario en Párrafo 149 0
1. El tratamiento no cumpla con los principios de lealtad, transparencia y legitimidad;
2. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
3. Haya vencido el plazo de conservación de los datos personales;
4. El titular de datos haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna o éste no se ampare en otro fundamento jurídico;
5. El titular de los datos haya ejercido su derecho de oposición conforme al artículo 39, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;
6. Los datos personales hayan sido tratados ilícitamente;
7. Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.

¶ 150 Deja un comentario en Párrafo 150 0 La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

¶ 151 Deja un comentario en Párrafo 151 0 La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

Artículo 41. Derecho a la Portabilidad

¶ 152 Deja un comentario en Párrafo 152 0 Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.

¶ 153 Deja un comentario en Párrafo 153 0 No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.

¶ 154 Deja un comentario en Párrafo 154 0 Este derecho no procederá cuando:

0. ¶ 155 Deja un comentario en Párrafo 155 0
1. Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;
2. Vulnere la privacidad de otro titular de los datos;
3. Vulnere las obligaciones legales del responsable o encargado del tratamiento,
4. Impida que el responsable y/o encargado del tratamiento proteja sus derechos, su seguridad o sus bienes, o los del titular de los datos o tercero,
5. Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.

Artículo 42. Derecho a no ser objeto de decisiones individuales automatizadas o semiautomatizadas.

¶ 156 Deja un comentario en Párrafo 156 0 El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen en tratamientos automatizados o semi automatizadas destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

¶ 157 Deja un comentario en Párrafo 157 0 No se aplica lo anterior cuando el tratamiento automatizado o semi automatizadas de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, en la que se regularán, en su caso, garantías adicionales para los derechos, libertades y los intereses legítimos de los titulares, o bien, se base en el consentimiento expreso del titular de datos.

¶ 158 Deja un comentario en Párrafo 158 0 No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

¶ 159 Deja un comentario en Párrafo 159 0 El responsable no podrá llevar a cabo tratamientos automatizados o semi automatizados de datos personales sensibles.

TÍTULO VI. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

CAPÍTULO I. DISPOSICIONES GENERALES. MEDIDAS DE RESPONSABILIDAD ACTIVA

Artículo 43. Medidas para el cumplimiento de la responsabilidad activa

¶ 160 Deja un comentario en Párrafo 160 0 Los responsables determinarán las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y el la consulta previa a que se refieren los artículos 49 y 50 de la presente ley.

¶ 161 Deja un comentario en Párrafo 161 0 Las medidas deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

¶ 162 Deja un comentario en Párrafo 162 0 Deben contemplar, como mínimo:

0. ¶ 163 Deja un comentario en Párrafo 163 0
1. La adopción de procesos internos para llevar adelante de manera efectiva la responsabilidad activa, incluyendo las medidas de privacidad por diseño y por defecto;
2. La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;
3. La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.
4. La revisión periódica de las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.
5. La implementación de sistemas de administración de riesgos asociados al tratamiento de datos personales.

¶ 164 Deja un comentario en Párrafo 164 0 Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

¶ 165 Deja un comentario en Párrafo 165 0 Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 44. Protección de datos desde el diseño y por defecto

¶ 166 Deja un comentario en Párrafo 166 0 El responsable del tratamiento debe aplicar, desde el diseño para el desarrollo de productos y servicios, medidas técnicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

¶ 167 Deja un comentario en Párrafo 167 0 El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas físicas.

Artículo 45. Mecanismos de autorregulación vinculantes

¶ 168 Deja un comentario en Párrafo 168 0 El responsable o encargado del tratamiento podrá adherirse, de manera voluntaria, a mecanismos de autorregulación vinculante, que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

¶ 169 Deja un comentario en Párrafo 169 0 Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

¶ 170 Deja un comentario en Párrafo 170 0 Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación. 

¶ 171 Deja un comentario en Párrafo 171 0 Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Artículo 46. Seguridad del tratamiento

¶ 172 Deja un comentario en Párrafo 172 0 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

0. ¶ 173 Deja un comentario en Párrafo 173 0
1. la seudonimización y el cifrado de datos personales;
2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

¶ 174 Deja un comentario en Párrafo 174 0 Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

¶ 175 Deja un comentario en Párrafo 175 0 La adhesión a un código de conducta o a un mecanismo de certificación aprobado por la autoridad de control podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el presente artículo.

¶ 176 Deja un comentario en Párrafo 176 0 El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de la legislación nacional.

Artículo 47. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

¶ 177 Deja un comentario en Párrafo 177 0 En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida y, de ser posible, a más tardar (72) setenta y dos horas después de que haya tenido constancia de ella. Si la notificación a la autoridad de control no tiene lugar en el plazo de (72) setenta y dos horas, deberá ir acompañada de indicación de los motivos de la dilación.

¶ 178 Deja un comentario en Párrafo 178 0 El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

¶ 179 Deja un comentario en Párrafo 179 0 La notificación deberá , como mínimo:

0. ¶ 180 Deja un comentario en Párrafo 180 0
1. Describir la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de titulares de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados;
2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales;
4. Describir las medidas adoptadas y a adoptar por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

¶ 181 Deja un comentario en Párrafo 181 0 Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

¶ 182 Deja un comentario en Párrafo 182 0 El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 48. Comunicación de una violación de la seguridad de los datos personales al Titular

¶ 183 Deja un comentario en Párrafo 183 0 Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas determinada por la autoridad, el responsable del tratamiento la comunicará al Titular sin dilación indebida.

¶ 184 Deja un comentario en Párrafo 184 0 La comunicación al Titular contemplada en el presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 47, numeral 2, 3 y 4.

¶ 185 Deja un comentario en Párrafo 185 0 La comunicación al Titular a que se refiere el presente artículo no será necesaria si se cumple alguna de las condiciones siguientes:

0. ¶ 186 Deja un comentario en Párrafo 186 0
1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del titular del dato a que se refiere el presente artículo;
3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Titulares.

¶ 187 Deja un comentario en Párrafo 187 0 Cuando el responsable todavía no haya comunicado al Titular la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá que dicha comunicación no es necesaria si cumple alguna de las condiciones mencionadas en el tercer párrafor de este artículo.

Artículo 49. Evaluación De Impacto

¶ 188 Deja un comentario en Párrafo 188 0 Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

¶ 189 Deja un comentario en Párrafo 189 0 a- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

¶ 190 Deja un comentario en Párrafo 190 0 b- Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o administrativas

¶ 191 Deja un comentario en Párrafo 191 0 c- Observación sistemática a gran escala de una zona de acceso público.

¶ 192 Deja un comentario en Párrafo 192 0 La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

¶ 193 Deja un comentario en Párrafo 193 0 La evaluación debe incluir, como mínimo:

0. ¶ 194 Deja un comentario en Párrafo 194 0
1. Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;
3. Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

Artículo 50. Consulta Previa

¶ 195 Deja un comentario en Párrafo 195 0 El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 49 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

¶ 196 Deja un comentario en Párrafo 196 0 Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará la información siguiente:

0. ¶ 197 Deja un comentario en Párrafo 197 0
1. Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;
2. Los fines y medios del tratamiento previsto;
3. Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;
4. En su caso, los datos de contacto del delegado de protección de datos;
5. La evaluación de impacto relativa a la protección de datos.
6. Cualquier otra información que solicite la autoridad de control.

¶ 198 Deja un comentario en Párrafo 198 0 Cuando la autoridad de control considere que el tratamiento previsto podría infringir la presente Ley, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de 60 (sesenta) días corridos desde la consulta, asesorar por escrito al responsable, y en su caso al encargado, de conformidad con las funciones establecidas en el el artículo 65 de la presente ley. Dicho plazo podrá prorrogarse por (45) cuarenta y cinco días corridos, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 30 (treinta) días corridos a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

Artículo 51. Posición del Delegado de protección de datos.

¶ 199 Deja un comentario en Párrafo 199 0 El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

¶ 200 Deja un comentario en Párrafo 200 0 El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 53, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

¶ 201 Deja un comentario en Párrafo 201 0 El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

¶ 202 Deja un comentario en Párrafo 202 0 Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la presente Ley.

¶ 203 Deja un comentario en Párrafo 203 0 El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con la legislación nacional.

¶ 204 Deja un comentario en Párrafo 204 0 El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 52. Delegado de Protección de Datos

¶ 205 Deja un comentario en Párrafo 205 0 Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:

0. ¶ 206 Deja un comentario en Párrafo 206 0
1. Cuando revistan el carácter de autoridades u organismos públicos; excepto los tribunales que actúen en ejercicio de su función judicial;
2. Se realice tratamiento a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales como parte de la actividad principal del responsable o encargado del tratamiento;
3. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de los titulares de datos a gran escala.

¶ 207 Deja un comentario en Párrafo 207 0 Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo 53.

¶ 208 Deja un comentario en Párrafo 208 0 Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa.

¶ 209 Deja un comentario en Párrafo 209 0 Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.

¶ 210 Deja un comentario en Párrafo 210 0 El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 53.

¶ 211 Deja un comentario en Párrafo 211 0 El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¶ 212 Deja un comentario en Párrafo 212 0 El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Artículo 53. Funciones del Delegado de Protección de Datos

¶ 213 Deja un comentario en Párrafo 213 0 El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

0. ¶ 214 Deja un comentario en Párrafo 214 0
1. Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.
2. Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;
3. Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;
4. Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;
5. Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;
6. Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;
7. Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.
8. Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;
9. Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.

¶ 215 Deja un comentario en Párrafo 215 0 El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

CAPÍTULO II. ENCARGADO DEL TRATAMIENTO

Artículo 54. Funciones del Encargado del Tratamiento

¶ 216 Deja un comentario en Párrafo 216 0 El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

¶ 217 Deja un comentario en Párrafo 217 0 El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.

¶ 218 Deja un comentario en Párrafo 218 0 El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo a la legislación nacional, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

0. ¶ 219 Deja un comentario en Párrafo 219 0
1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de la ley que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
3. tomará todas las medidas necesarias de conformidad con el artículo 46 de seguridad de tratamiento;
4. respetará las condiciones indicadas en el presente artículo para recurrir a otro encargado del tratamiento;
5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los titulares establecidos en el Título V;
6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en el 46 de seguridad del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de la ley;
8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe la presente Ley.

Artículo 55. Sub Encargado de Tratamiento

¶ 220 Deja un comentario en Párrafo 220 0 El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

¶ 221 Deja un comentario en Párrafo 221 0 Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos.

Artículo 56. Representantes de responsables o encargados del tratamiento no establecidos en Paraguay

¶ 222 Deja un comentario en Párrafo 222 0 Cuando sea de aplicación el artículo 2, inciso b) el responsable o el encargado del tratamiento designará por escrito un representante en la República del Paraguay.

¶ 223 Deja un comentario en Párrafo 223 0 La obligación del presente artículo no será aplicable cuando:

0. ¶ 224 Deja un comentario en Párrafo 224 0
1. el tratamiento sea ocasional, que no incluyan el manejo a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
2. el tratamiento sea realizado por las autoridades o instituciones públicas del extranjero.

¶ 225 Deja un comentario en Párrafo 225 0 El representante estará establecido en el territorio nacional cuando los titulares cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado estén en Paraguay. El responsable o encargado comunicará a la autoridad de control los datos de contacto de su representante. Las notificaciones o intimaciones serán realizadas en el domicilio del representante.

¶ 226 Deja un comentario en Párrafo 226 0 La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

TÍTULO VII. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Artículo 57. Reglas generales para las transferencias internacionales de datos personales

¶ 227 Deja un comentario en Párrafo 227 0 La transferencia internacional de datos personales se podrá realizar en cualquiera de los siguientes supuestos:

0. ¶ 228 Deja un comentario en Párrafo 228 0
1. El país u organización internacional o supranacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales;
2. El exportador ofrezca garantías apropiadas al tratamiento de los datos personales, en cumplimiento de las condiciones mínimas y suficientes establecidas en esta ley.

¶ 229 Deja un comentario en Párrafo 229 0 En ausencia de una decisión de adecuación o de garantías apropiadas establecidos en el inciso 2), la transferencia se podrá realizar si se cumple una de las condiciones siguientes:

¶ 230 Deja un comentario en Párrafo 230 0 a) La transferencia sea necesaria para la cooperación jurídica internacional entre órganos de inteligencia pública, investigación y enjuiciamiento, de conformidad con los instrumentos del derecho internacional, con las debidas salvaguardas adicionales;

¶ 231 Deja un comentario en Párrafo 231 0 b) La transferencia se encuentre prevista en esta ley u otras leyes, convenios o tratados internacionales en los que Paraguay sea parte siempre y cuando no sean contrarias a las disposiciones de esta ley;

¶ 232 Deja un comentario en Párrafo 232 0 c) La transferencia sea necesaria, para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

¶ 233 Deja un comentario en Párrafo 233 0 d) La transferencia sea necesaria para proteger la vida o la seguridad física del titular o de un tercero,

¶ 234 Deja un comentario en Párrafo 234 0 e) El titular del dato haya dado su consentimiento expreso, con información previa sobre el carácter internacional de la operación, distinguiéndose claramente de otros fines.

¶ 235 Deja un comentario en Párrafo 235 0 El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

Artículo 58. Carácter adecuado del país u organismo receptor

¶ 236 Deja un comentario en Párrafo 236 0 El nivel de protección de datos del país extranjero o de la organización internacional o supranacional a que se refiere el inciso 1 del art. 57 de esta Ley, será evaluada por la autoridad de control, a pedido de parte interesada o de oficio, la cual tendrá en cuenta:

¶ 237 Deja un comentario en Párrafo 237 0 a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;

¶ 238 Deja un comentario en Párrafo 238 0 b) la naturaleza de los datos;

¶ 239 Deja un comentario en Párrafo 239 0 c) observancia de los principios generales de protección de datos personales y derechos de los titulares previstos en esta Ley;

¶ 240 Deja un comentario en Párrafo 240 0 d) la adopción de las medidas de seguridad previstas en los reglamentos;

¶ 241 Deja un comentario en Párrafo 241 0 e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y

¶ 242 Deja un comentario en Párrafo 242 0 f) otras circunstancias específicas relacionadas con la transferencia.

Artículo 59. Transferencias mediante garantías adecuadas.

¶ 243 Deja un comentario en Párrafo 243 0 Las garantías adecuadas de conformidad al numeral numeral 2 del artículo 57 podrán ser aportadas, sin que se requiera ninguna autorización expresa de la autoridad de control, por:

¶ 244 Deja un comentario en Párrafo 244 0 a. un instrumento jurídicamente vinculante y exigible entre las autoridades o instituciones públicos;

¶ 245 Deja un comentario en Párrafo 245 0 b. mecanismos de autorregulación vinculantes de conformidad con el artículo 45;

¶ 246 Deja un comentario en Párrafo 246 0 c. cláusulas tipo de protección de datos adoptadas por la autoridad de control

¶ 247 Deja un comentario en Párrafo 247 0 d. un código de conducta aprobado con arreglo al artículo 65, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los titulares de datos, o

¶ 248 Deja un comentario en Párrafo 248 0 e. un mecanismo de certificación aprobado por la autoridad de control, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los titulares de datos.

¶ 249 Deja un comentario en Párrafo 249 0 Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el inciso 2 del artículo 57, podrán igualmente ser aportadas, en particular, mediante:

0. ¶ 250 Deja un comentario en Párrafo 250 0
1. cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o supranacional, o
2. disposiciones que se incorporen en acuerdos administrativos entre las autoridades o instituciones públicas que incluyan derechos efectivos y exigibles para los titulares de datos..

Artículo 60. Cambios de las garantías

¶ 251 Deja un comentario en Párrafo 251 0 Los cambios en las garantías que se presenten como suficientes para cumplir con los principios generales de protección y los derechos del titular a que se refiere el inciso 2 del art. 57 de esta Ley debe ser comunicada a la autoridad de control.

Artículo 61. Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales

¶ 252 Deja un comentario en Párrafo 252 0 A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente Ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

TÍTULO VIII. AUTORIDAD DE PROTECCIÓN DE DATOS

CAPÍTULO I. AUTORIDAD DE CONTROL

Artículo 62. Naturaleza de la Autoridad de control y supervisión

¶ 253 Deja un comentario en Párrafo 253 0 La Agencia de Protección de Datos Personales es un ente de derecho público y es el organismo encargado del control y cumplimiento de las leyes en materia de protección de datos personales con plena autonomía e independencia en el ejercicio de sus funciones.

¶ 254 Deja un comentario en Párrafo 254 0 Compete a la Agencia de Protección de Datos Personales el ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos.

¶ 255 Deja un comentario en Párrafo 255 0 Le corresponde así también la asistencia técnica a cualquier institución que lo solicite para la protección de datos personales.

¶ 256 Deja un comentario en Párrafo 256 0 La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Artículo 63. Nombramiento de Autoridades en materia de protección de datos personales

¶ 257 Deja un comentario en Párrafo 257 0 La Agencia de Datos Personales estará conformada por un Director o una Directora y un Subdirector o una Subdirectora, quienes deberán ser de nacionalidad paraguaya, de 30 (treinta) años cumplidos y deberán contar con antecedentes personales, profesionales y de conocimiento, en particular respecto al ámbito de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

¶ 258 Deja un comentario en Párrafo 258 0 No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge de una persona que esté en alguno de los supuestos mencionados anteriormente.

¶ 259 Deja un comentario en Párrafo 259 0 Para su elección, el Poder Ejecutivo remitirá a la Cámara de Senadores una lista de (3) tres candidatos a Director o Directora y tres candidatos a Subdirector o Subdirectora, de entre los cuales la Cámara de Senadores elegirá a uno para cada cargo por mayoría absoluta.

Artículo 64. Duración del mandato y remoción de las autoridades

¶ 260 Deja un comentario en Párrafo 260 0 El Director o la Directora y el Subdirector o la Subdirectora durarán 5 (cinco) años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción en los casos de mal desempeño de sus funciones o la comisión de delitos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.

¶ 261 Deja un comentario en Párrafo 261 0 El directora o la directora y el subdirector o subdirectora podrán ser removidos, por faltas graves e irregularidades cometidas en el ejercicio de sus funciones, por las causas siguientes:

¶ 262 Deja un comentario en Párrafo 262 0 a) El mal desempeño de sus funciones;

¶ 263 Deja un comentario en Párrafo 263 0 b) El desempeño de un empleo, cargo o comisión distinto de lo previsto en esta Ley, excepto la docencia a tiempo parcial.

¶ 264 Deja un comentario en Párrafo 264 0 c) Utilizar en beneficio propio o de terceros la información confidencial de que disponga en razón de su cargo,

¶ 265 Deja un comentario en Párrafo 265 0 d) incapacidad sobrevenida para el ejercicio de su función,

¶ 266 Deja un comentario en Párrafo 266 0 e) condena firme por delito doloso.

¶ 267 Deja un comentario en Párrafo 267 0 En caso de incurrir en las conductas descritas en el párrafo anterior, se aplicarán análogamente las mismas sanciones establecidas en la Ley No 1626/00 “DE LA FUNCIÓN PÚBLICA”.

Artículo 65. Facultades de la Autoridad de Control

¶ 268 Deja un comentario en Párrafo 268 0 La Agencia de Protección de Datos Personales cuenta con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de la presente ley, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

¶ 269 Deja un comentario en Párrafo 269 0 La autoridad de control tendrá las siguientes funciones y atribuciones:

¶ 270 Deja un comentario en Párrafo 270 0 a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los

¶ 271 Deja un comentario en Párrafo 271 0 medios legales de que disponen para la defensa de sus derechos;

¶ 272 Deja un comentario en Párrafo 272 0 b. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de las actividades

¶ 273 Deja un comentario en Párrafo 273 0 comprendidas por esta Ley; específicamente, dictar normas administrativas y de procedimiento

¶ 274 Deja un comentario en Párrafo 274 0 relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento

¶ 275 Deja un comentario en Párrafo 275 0 de datos y condiciones de seguridad de las bases de datos;

¶ 276 Deja un comentario en Párrafo 276 0 c. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los

¶ 277 Deja un comentario en Párrafo 277 0 términos de la presente Ley;

¶ 278 Deja un comentario en Párrafo 278 0 d. Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente Ley y las normas que dicte la autoridad de control;

¶ 279 Deja un comentario en Párrafo 279 0 e. Solicitar información a las instituciones públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le

¶ 280 Deja un comentario en Párrafo 280 0 requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

¶ 281 Deja un comentario en Párrafo 281 0 f. Imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente Ley y de las reglamentaciones que se dicten en su consecuencia;

¶ 282 Deja un comentario en Párrafo 282 0 g. Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente Ley;

¶ 283 Deja un comentario en Párrafo 283 0 h. Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento con lo dispuesto en el artículo 45;

¶ 284 Deja un comentario en Párrafo 284 0 I. Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 49,

¶ 285 Deja un comentario en Párrafo 285 0 j. Solicitar información a los Delegados de Protección de Datos, en los términos de lo previsto en la

¶ 286 Deja un comentario en Párrafo 286 0 presente Ley.

¶ 287 Deja un comentario en Párrafo 287 0 k. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, de carácter internacional o transnacional, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;

¶ 288 Deja un comentario en Párrafo 288 0 l.Preparar informes anuales de gestión sobre sus actividades;

¶ 289 Deja un comentario en Párrafo 289 0 m. Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a la protección de datos personales.

¶ 290 Deja un comentario en Párrafo 290 0 n. Colaborar con el Ministerio de Tecnologías de la Información y Comunicación en las políticas públicas, investigación y en la gestión de seguridad de la información y ciberseguridad sobre las infraestructuras de bases de datos que contengan datos personales para la adecuada protección de los mismos.

Artículo 66: De las funciones del Director o de la Directora

¶ 291 Deja un comentario en Párrafo 291 0 Le corresponde al Director o la Directora:

0. ¶ 292 Deja un comentario en Párrafo 292 0
1. Representar a la Agencia de Protección de Datos en todos los actos en que ella intervenga,
2. Dirigir las actividades de la institución de conformidad a lo establecido en esta Ley y su reglamentación.
3. Controlar y hacer aplicar la presente ley.
4. Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
5. Brindar información y tratar las reclamaciones de cualquier titular en relación con el ejercicio de sus derechos en virtud de la presente ley.
6. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

¶ 293 Deja un comentario en Párrafo 293 0 El Director o Directora se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

Artículo 67: De las funciones del Subdirector o de la Subdirectora

¶ 294 Deja un comentario en Párrafo 294 0 Al Subdirector o la Subdirectora le corresponde sustituir al Director o Directora en caso de impedimento, ausencia temporal o vacancia definitiva, asumiendo de inmediato todas sus atribuciones, cooperar con la labor de conformidad a esta Ley; y supervisar el funcionamiento de las distintas dependencias de la Agencia de Protección de Datos Personales.

Artículo 68. De los recursos de la Agencia de Protección de Datos Personales

¶ 295 Deja un comentario en Párrafo 295 0 Los recursos financieros de la Agencia de Proteccion de Datos Personales estarán constituidos por:

0. ¶ 296 Deja un comentario en Párrafo 296 0
1. Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación para el mantenimiento e incremento de sus funciones.
2. Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en esta Ley.
3. Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional, siempre que no implique conflicto de interés.

TÍTULO IX. RECLAMACIONES Y SANCIONES

Artículo 69. Régimen de reclamaciones y de imposición de sanciones

¶ 297 Deja un comentario en Párrafo 297 0 El titular de los datos o su representante legal puede iniciar una reclamación ante la autoridad de control para hacer efectivos sus derechos, así como recurrir a la tutela judicial para ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de su derecho a la protección de datos personales conforme a las normas establecidas en la presente ley.

Artículo 70. Procedimiento para la reclamación

¶ 298 Deja un comentario en Párrafo 298 0 La reclamación será presentada por escrito o por medio electrónico, en la plataforma habilitada por la Autoridad de Control y deberá ser respondida por el medio elegido por el solicitante dentro del plazo de 15 (quince) días hábiles.

¶ 299 Deja un comentario en Párrafo 299 0 La autoridad encargada podrá requerir las informaciones a instituciones públicas, privadas y a particulares, que deberán responder dentro del plazo de 15 (quince) días hábiles. La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.

¶ 300 Deja un comentario en Párrafo 300 0 La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias. La Autoridad de Control reglamentará el procedimiento a seguirse.

Artículo 71. Régimen de faltas y sanciones

¶ 301 Deja un comentario en Párrafo 301 0 La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas de las personas físicas y jurídicas que contravengan lo dispuesto en la presente ley.

Artículo 72. Prescripción de sanciones

¶ 302 Deja un comentario en Párrafo 302 0 El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

¶ 303 Deja un comentario en Párrafo 303 0 La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 73. Faltas leves

¶ 304 Deja un comentario en Párrafo 304 0 Se consideran faltas leves y prescribirán al año, las siguientes infracciones:

0. ¶ 305 Deja un comentario en Párrafo 305 0
1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.
2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.
3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
4. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
5. La notificación incompleta, tardía o defectuosa a la autoridad de control de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 47 de la presente ley.
6. Negarse injustificadamente a dar acceso a un titular del dato sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.
7. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo 54 de esta ley.
8. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

Artículo 74. Faltas graves

¶ 306 Deja un comentario en Párrafo 306 0 Se consideran graves y prescribirán a los dos años, las siguientes infracciones:

0. ¶ 307 Deja un comentario en Párrafo 307 0
1. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.
2. Reiteración en la negativa injustificada de dar acceso a un titular sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.
3. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.
4. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
5. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.
6. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
8. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.
9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
10. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.
11. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 56 de la presente ley.
12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo 5 de esta ley.
13. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
14. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
15. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 47 de la presente ley.
16. El incumplimiento del deber de comunicación al Titular de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 48 de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
17. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
18. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.
19. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 52 de esta ley.
20. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
21. La utilización de un sello o certificación nacional o internacional falso en materia de protección de datos o en caso de que la vigencia de los mismos hubieran expirado.
22. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.
23. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por los artículos 38 y 40 de esta ley.
24. El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento.
25. La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 36 de esta ley.
26. La exigencia del pago de un canon para el ejercicio de cualquiera de los derechos establecidos en el Título V, Capítulo I de los derechos de los titulares de datos.

Artículo 75. Faltas muy graves

¶ 308 Deja un comentario en Párrafo 308 0 Se consideran muy graves y prescribirán a los tres años, las siguientes infracciones:

0. ¶ 309 Deja un comentario en Párrafo 309 0
1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las bases legales establecidas en la legislación vigente.
2. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.
3. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.
4. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.
5. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido.
6. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
7. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el artículo 29.
8. La vulneración del principio de confidencialidad establecido en el artículo 15 de esta ley.
9. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos y excepciones establecidos en los artículos 57 y 59 de esta ley.
10. No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.
11. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.
12. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la reidentificación de los titulares.
13. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las bases legales establecidas en esta ley.

¶ 310 Deja un comentario en Párrafo 310 0 En el numeral 8, el titular del dato que se vea vulnerado por el principio de confidencialidad podrá además accionar en base al artículo 147 de la Ley 1160/97 “Código Penal”.

Artículo 76. Incumplimiento por parte de instituciones públicas

¶ 311 Deja un comentario en Párrafo 311 0 Las sanciones pecuniarias indicadas en este capítulo sólo se aplican a las personas de naturaleza privada. En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de instituciones públicas, actuará de conformidad con el artículo 31.

Artículo 77. Sanciones administrativas

¶ 312 Deja un comentario en Párrafo 312 0 Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:

0. ¶ 313 Deja un comentario en Párrafo 313 0
1. Apercibimiento como primera instancia;
2. Multas:
   • a. Para las faltas leves, hasta 500 (quinientos) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.
   • b. Para las faltas graves, hasta 10.000 (diez mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.
   • c. Para las faltas muy graves, hasta 35.000 (treinta y cinco mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de 1 (uno) a 6 (seis) meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.
3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse;
4. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control;
5. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Artículo 78: Criterios para las sanciones administrativas

¶ 314 Deja un comentario en Párrafo 314 0 Las sanciones se aplicarán luego de un procedimiento administrativo que permita la oportunidad de una amplia defensa, de manera gradual, aislada o acumulativa, según las peculiaridades del caso específico y considerando los siguientes parámetros y criterios:

• ¶ 315 Deja un comentario en Párrafo 315 0
• A. la gravedad y naturaleza de las infracciones y los derechos personales afectados;
• B. la buena fe del infractor;
• C. la ventaja obtenida o pretendida por el infractor;
• D. el tamaño de la persona jurídica y la situación económica del infractor;
• E. reincidencia;
• F. el grado de daño;
• G. la cooperación del infractor;
• H. la adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;
• I. la adopción de una política de buenas prácticas o código de conductas;
• J. la pronta adopción de medidas correctivas;
• K. la proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.

Artículo 79.- Pago de multas

¶ 316 Deja un comentario en Párrafo 316 0 El monto de las multas deberá ser pagado dentro del plazo de treinta días, contados desde la notificación.

Artículo 80.- Falta de pago de multas

¶ 317 Deja un comentario en Párrafo 317 0 Si la multa no fuera pagada y hubiera resolución firme, la Autoridad de control, podrá demandar judicialmente al infractor por medio de juicio ejecutivo ante el Juzgado de Primera Instancia en lo Civil y Comercial de la capital, acompañando copia de la resolución que aplicó la sanción o de la sentencia ejecutoriada en su caso, la que tendrá por sí sola fuerza ejecutiva.

¶ 318 Deja un comentario en Párrafo 318 0 En este juicio, el demandado no podrá oponer otras excepciones que la de prescripción, la falta de acción, y la de pago total.

Artículo 81.- Intereses por falta de pago de multas

¶ 319 Deja un comentario en Párrafo 319 0 El retardo en el pago de toda multa que aplique la Autoridad de Control, en conformidad a la Ley,

¶ 320 Deja un comentario en Párrafo 320 0 devengará los intereses de mercado correspondiente al promedio de la tasa activa.

¶ 321 Deja un comentario en Párrafo 321 0 Si la multa no fuere procedente y no obstante hubiese sido pagada, la Autoridad de Control, o el juzgado respectivo, según corresponda, deberá ordenar se devuelvan las sumas pagadas, con los intereses establecidos por Ley.

Artículo 82.- Prescripción de la acción de cobro de multa

¶ 322 Deja un comentario en Párrafo 322 0 La acción de cobro de una multa prescribe en el plazo de 5 (cinco) años, contados desde que se hizo exigible.

TÍTULO X. RECURSOS

Artículo 83.- Recurso de reconsideración

¶ 323 Deja un comentario en Párrafo 323 0 Todo recurso de reconsideración contra una resolución o acto administrativo de carácter no reglamentario por parte de la Autoridad de Control, deberá agotarse en la instancia administrativa. Posterior a esto, estará sujeto al control jurisdiccional ante el Tribunal de Cuentas.

Artículo 84.- Contenido y forma de presentación

¶ 324 Deja un comentario en Párrafo 324 0 La reconsideración se formulará por escrito y contendrá en forma clara y precisa los hechos y el derecho en que se fundamenta. El plazo para su interposición será de cinco días hábiles, contados a partir de la notificación de la resolución.

¶ 325 Deja un comentario en Párrafo 325 0 La Autoridad de Control dispondrá de cinco días hábiles para resolver el recurso de reconsideración, transcurridos los cuales, sin que medie resolución, se entenderá que rechaza el recurso. La interposición del recurso de reconsideración suspenderá el plazo para recurrir ante el Tribunal de Cuentas.

Artículo 85.- Acción contencioso-administrativo

¶ 326 Deja un comentario en Párrafo 326 0 La acción contencioso-administrativo deberá interponerse ante el Tribunal de Cuentas, dentro del plazo de 18 (dieciocho) días hábiles, contados desde la notificación del acto recurrido.

¶ 327 Deja un comentario en Párrafo 327 0 El recurso de reconsideración y la acción contencioso-administrativo, tendrán efecto suspensivo para la aplicación de multas.

XI. DISPOSICIONES FINALES

Artículo 86. Disposiciones finales

¶ 328 Deja un comentario en Párrafo 328 0 La presente Ley entrará en vigencia luego de transcurridos 12 (doce) meses de su publicación oficial.

Artículo 87. Reglamentación

¶ 329 Deja un comentario en Párrafo 329 0 El Poder Ejecutivo reglamentará la presente Ley en un plazo máximo de 90 (noventa) días desde su publicación oficial.

Artículo 88.Comuníquese al Poder Ejecutivo

¶ 330 Deja un comentario en Párrafo 330 0