Coalición de Datos Personales

Versión para Imprimir

EXPOSICIÓN DE MOTIVOS

Este Proyecto de Ley enmarca la protección de datos personales como un derecho inherente a cada persona física, en relación al tratamiento de sus datos, ya sea a través de entes públicos o privados, con fines lucrativos o no, a través de cualquier medio de transmisión o divulgación existentes, incluyendo tecnologías existentes y nuevas tecnologías a ser desarrolladas.

TÍTULO I. DISPOSICIONES GENERALES.

Artículo 1. Objeto De La Ley. La presente Ley tiene por objeto la protección integral de los datos personales a
fin de garantizar el ejercicio pleno de los derechos de sus titulares, de conformidad a lo establecido en la CONSTITUCIÓN NACIONAL y los Tratados suscritos por la República del Paraguay”.

Artículo 2. Ámbito de Aplicación. Esta Ley es de aplicación obligatoria al tratamiento de datos personales recopilados o almacenados en sistemas de información públicos o privados, sean estos archivos, registros, bases de datos; físicos, electrónicos o digitales, a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.

Artículo 3. Excepciones A La Ley.

Se consideran exentos de aplicación de la presente ley, los siguientes datos:

a. Datos almacenados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b. Datos que sean almacenados con el objeto de preservar la seguridad pública, la defensa, la seguridad del estado y sus actividades en materia penal, investigación y represión del delito.

c. Datos que se encuentren regulados por otras leyes vigentes en la República del Paraguay.

La aplicación de la presente Ley en ningún caso podrá afectar el secreto de las fuentes de información periodística, ni el tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión.

Artículo 4. Definiciones.

A los efectos de la presente ley, se consideran las siguientes disposiciones generales y definiciones:

1. Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.

2. Datos Personales:información de cualquier tipo referida a personas físicas determinadas o determinables.Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

3. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

4. Elaboración De Perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.

5. Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

6. Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

7. Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

8. Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

9. Normas Corporativas Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el país para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

10. Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

11. Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Artículo 5. Principio De Exactitud De Los Datos.

Los datos personales serán exactos, completos y actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

Artículo 6. Principio Del Tratamiento Con El Consentimiento Del Titular Del Dato.

Se entenderá por consentimiento del titular del dato toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. 

Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. 

No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tiene efectos retroactivos. 

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 7. Consentimiento De Los Menores De Edad.

El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.

El responsable realizará esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.

Artículo 8. Principio De Seguridad.

En el tratamiento de datos personales requerirá la adopción de medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.

Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:

a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

b. El estado de la técnica.

c. Los costos de aplicación.

d. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

e. El alcance, contexto y las finalidades del tratamiento.

f. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

g. El número de titulares.

h. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

i. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.

Artículo 9. Principio De Integridad Y Confidencialidad.

Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad. Debe garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado o ilegítimo y contra la pérdida accidental, destrucción o daños de los datos, utilizando medidas técnicas y organizacionales pertinentes. Todas las personas que intervengan en cualquier fase del tratamiento están sujetas a guardar secreto o confidencialidad con carácter indefinido.

La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con lo establecido en el artículo 174 de la Ley 1160/97 “Código Penal”.

El obligado puede ser relevado del deber de confidencialidad por resolución judicial.

Artículo 10. Principio De Lealtad.

No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos, que den lugar a una discriminación injusta o arbitraria contra los titulares.

Artículo 11. Principio De Transparencia.

El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

El responsable proporcionará al titular, al menos, la información siguiente:

a. Su identidad y datos de contacto.

b. Las finalidades del tratamiento a que serán sometidos sus datos personales.

c. Las comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

Artículo 12. Principio De Licitud O Legitimación Del Tratamiento.

Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento explícito del interesado o sobre otra base o fundamento jurídico.

Artículo 13. Principio De Limitación De La Finalidad.

Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Artículo 14. Principio De No Discriminación.

A fin de evitar situaciones discriminatorias, quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, salvo que:

1. El titular haya dado su consentimiento explícito para el tratamiento de dichos datos personales.

2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social;

3. El tratamiento sea necesario para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento;

4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;

5. El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos;

6. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

7. El tratamiento sea necesario por razones de un interés público esencial, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular;

8. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

9. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del titular, en particular el secreto profesional; y

10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular.

Artículo 15. Tratamiento De Datos Por Obligación Legal, Interés Público O Ejercicio De Poderes Públicos.

El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares, administrativas y de seguridad conexas, solo podrá llevarse a cabo para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, fuera de los supuestos señalados, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, solo serán posibles cuando sean llevados a cabo por abogados, defensores y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 16. Limitación Del Plazo De Conservación.

No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. Deben establecerse plazos para la supresión o revisión periódica.

Artículo 17. Principio de proporcionalidad

El responsable tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

TÍTULO III. DERECHO DE LOS TITULARES DE DATOS.

CAPÍTULO I – EJERCICIO DE LOS DERECHOS.

Artículo 18. Disposiciones Generales Sobre El Ejercicio De Los Derechos.

El titular de datos o su representante podrá, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

El responsable tendrá un plazo de ….. días hábiles para dar respuesta a la solicitud del Titular. Se contará desde …

Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control, a elección del titular de los datos, podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite de ante la autoridad de control.

Artículo 19. Excepciones En El Ejercicio De Los Derechos.

No procederá el ejercicio de los derechos referidos, en los siguientes casos:

1. Cuando el tratamiento sea necesario para el cumplimiento de un objetivo importante de interés público.

2. Cuando el tratamiento sea necesario para el ejercicio de las funciones propias de las autoridades públicas.

3. Cuando el responsable acredite tener motivos legítimos para que el tratamiento prevalezca sobre los intereses, los derechos y las libertades del titular.

4. Cuando el tratamiento sea necesario para el cumplimiento de una disposición legal.

5. Cuando los datos personales sean necesarios para el mantenimiento o cumplimiento de una relación jurídica o contractual.

En el caso de personas fallecidas, sus herederos universales podrán ejercer los derechos.

Artículo 20. Derecho A La Información.

El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.

Artículo 21. Derecho De Acceso.

El titular de datos tendrá el derecho a solicitar el acceso a sus datos personales que obren en posesión del responsable, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento.

Artículo 22. Derecho De Rectificación.

El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

Artículo 23. Derecho De Supresión O Derecho Al Olvido.

El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.

Artículo 24. Derecho De Oposición.

El titular de datos podrá oponerse al tratamiento de sus datos personales cuando:

1. Tenga una razón legítima derivada de su situación particular.

2. El tratamiento de sus datos personales tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad.

Tratándose del inciso anterior, cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines.

Artículo 25. Derecho A La Portabilidad.

Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.

No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.

Artículo 26. Derecho A No Ser Objeto De Decisiones Individuales Automatizadas.

El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

No se aplica lo anterior cuando el tratamiento automatizado de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, o bien, se base en el consentimiento expreso del titular de datos.

No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

El responsable no podrá llevar a cabo tratamientos automatizados de datos personales que tengan como efecto la discriminación de los titulares de datos es por su origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, así como datos genéticos o datos biométricos.

Artículo 27. Derecho A La Limitación Del Tratamiento.

El titular de datos tendrá derecho a que el tratamiento de datos personales se limite a su almacenamiento durante el periodo que medie entre una solicitud de rectificación u oposición hasta su resolución por el responsable.

El titular de datos tendrá derecho a la limitación del tratamiento de sus datos personales cuando éstos sean innecesarios para el responsable, pero los necesite para formular una reclamación.

TÍTULO IV. DISPOSICIONES APLICABLES A TRATAMIENTOS CONCRETOS.

Artículo 28.Tratamiento De Datos De Contacto, De Empresarios Individuales Y De Profesionales Liberales.

Salvo prueba en contrario, se presumirá amparado el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

1. Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.

2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

Artículo 29.Sistemas de información crediticia.

Se remitirá a lo establecido en la ley de Protección de Datos personales crediticios, Ley Nº……

Artículo 30. Tratamientos Relacionados Con La Realización De Determinadas Operaciones Mercantiles.

Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.

Artículo 31. Tratamientos Con Fines De Videovigilancia.

Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de ……. cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por La presente ley.

Artículo 32. Sistemas De Exclusión Publicitaria.

Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.

A tal efecto, podrán crearse sistemas de información, generales o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas.

Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.

Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente.

No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley, su consentimiento para recibir la comunicación a quien pretenda realizarla.

Artículo 33. Tratamiento De Datos En El Ámbito De La Función Estadística Pública.

El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.

Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artículos ….. cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación.

Artículo 34. Tratamiento De Datos Con Fines De Archivo En Interés Público Por Parte De Las Administraciones Públicas.

Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley.

Artículo 35. Tratamiento De Datos Relativos A Infracciones Y Sanciones Administrativas.

El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:

1. Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.

2. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

TÍTULO V. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO.

CAPÍTULO I. DISPOSICIONES GENERALES. MEDIDAS DE RESPONSABILIDAD ACTIVA.

Artículo 36. Medidas Para El Cumplimiento De La Responsabilidad Activa.

Las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular. Deben contemplar, como mínimo:

1. La adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad;

2. La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

3. La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 37. Protección De Datos Desde El Diseño Y Por Defecto.

El responsable del tratamiento debe aplicar medidas tecnológicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas tecnológicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas humanas.

Artículo 38. Mecanismos De Autorregulación Vinculantes. 

La autoridad de control alentará la elaboración de mecanismos de autorregulación vinculantes que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Los responsables o encargados del tratamiento pueden adherirse, de manera voluntaria, a mecanismos de autorregulación vinculantes. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación. 

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Artículo 39. Evaluación De Impacto.

Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

1. Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
2. Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o contravencionales.
3. Observación sistemática a gran escala de una zona de acceso público.

La evaluación debe incluir, como mínimo:

1. Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;
3. Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

Artículo 40 Informe Previo.

El responsable del tratamiento debe informar a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento de datos entrañaría un alto riesgo si el responsable no toma medias para mitigarlo. El informe a la autoridad de control debe incluir, como mínimo, la siguiente información: 

1. Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;
2. Los fines y medios del tratamiento previsto;
3. Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;
4. En su caso, los datos de contacto del delegado de protección de datos;
5. La evaluación de impacto relativa a la protección de datos.
6. Cualquier otra información que solicite la autoridad de control.
7. Cuando la autoridad de control considere que el tratamiento de datos previsto pueda infringir la presente Ley, iniciará el procedimiento de verificación de oficio establecido en el artículo ….

Artículo 41. Delegado De Protección De Datos.Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:

1. Cuando revistan el carácter de autoridades u organismos públicos;
2. Se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento;
3. Se realice tratamiento de datos a gran escala.
4. Cuando los responsables y encargado del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo ….
5. Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa. Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.

Artículo 42. Funciones Del Delegado De Protección De Datos.El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

1. Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.
2. Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;
3. Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;
4. Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;
5. Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;
6. Ofrecer el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;
7. Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.
8. Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;
9. Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.

CAPÍTULO II. ENCARGADO DEL TRATAMIENTO.

Artículo 43. Funciones Del Encargado Del Tratamiento.

El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El encargado debe realizar este tratamiento en base a lo establecido en la presente ley, en relación a seguridad, transparencia, fiabilidad, almacenamiento y destrucción de los datos.

Artículo 44. Tratamiento De Datos Por Cuenta De Terceros.

La prestación de servicios de tratamiento de datos por cuenta de terceros entre un responsable y un encargado del tratamiento debe quedar formalizada mediante un contrato por escrito y no requiere del consentimiento del titular de los datos. El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos, en cuyo caso sólo podrán conservarse por un máximo de DOS (2) años. 

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

Artículo 45. De La Responsabilidad Por Daños.

El encargado o el delegado que, en razón del ejercicio de actividad de tratamiento de datos personales, cause a otro daño patrimonial, moral, individual o colectivo, en violación a la legislación de protección de datos personales, está obligado a repararla.

A fin de asegurar la efectiva indemnización al titular de los datos:

1. El delegado responde solidariamente por los daños causados por el tratamiento cuando incumpla las obligaciones de la legislación de protección de datos o cuando no haya seguido las instrucciones lícitas del encargado, hipótesis en que el delegado se equipara al encargado, salvo en los casos de exclusión previstos en el mismo el art…. de esta Ley;

2. Los encargados que estén directamente involucrados en el tratamiento del cual se produjeron daños al titular de los datos responden solidariamente, salvo en los casos de exclusión previstos en el art. … de esta Ley.

El juez, en el proceso civil, podrá invertir la carga de la prueba a favor del titular de los datos cuando, a su juicio, sea verosímil la alegación, haya suficientes producciones de prueba o cuando la producción de prueba por el titular resulte demasiado costosa.

Las acciones de reparación por daños colectivos que tengan por objeto la responsabilización pueden ser ejercidas colectivamente en juicio, observando lo dispuesto en la legislación pertinente.

Aquel que repare el daño al titular tiene derecho de retorno contra los demás responsables, en la medida de su participación en el evento dañino.

Artículo 46. Excepciones De La Responsabilidad Por Daños.

Los agentes de tratamiento sólo no serán responsables cuando prueban:

1. Que no han efectuado el tratamiento de datos personales que se les ha asignado;

2. Que, aunque hayan realizado el tratamiento de datos personales que les es atribuido, no hubo violación a la legislación de protección de datos; o

3. Que el daño se deriva de la culpa exclusiva del titular de los datos o de un tercero.

TÍTULO VI. TRANSFERENCIAS INTERNACIONALES DE DATOS.

Artículo 47. Datos transferidos internacionalmente.

Se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuada de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

La prohibición no regirá cuando se trate de:

1. Cooperación Judicial internacional, de acuerdo al respectivo instrumento internacional, ya sea Tratado o Convención, atendidas las circunstancias del caso.

2.Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas.

3.Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.

4. Acuerdos en el marco de tratados internacionales en los cuales la República del Paraguay sea parte.

5. Cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, lavado de dinero, delitos informáticos y el narcotráfico.

6. El país u organismo internacional o supranacional receptor proporcione un nivel de protección adecuado;

También será posible realizar la transferencia internacional de datos en los siguientes supuestos:

1. Que el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.

2. Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado.

3. Que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero.

4. Que la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

5. Que la transferencia sea necesaria para la salvaguardia del interés vital del interesado.

6. Que la transferencia tenga lugar desde un registro que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para su consulta.

7. Sea efectuada a cualquier sociedad del mismo grupo económico del responsable del tratamiento, en tanto los datos personales sean utilizados para finalidades que no sean incompatibles con las que originaron su recolección;

8. Sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

9. Sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos;

10. El responsable del tratamiento transferente y el destinatario adopten mecanismos de autorregulación vinculante, siempre y cuando éstos sean acordes a las disposiciones previstas en esta Ley;

11. Se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales acordes con las disposiciones previstas en la presente Ley.

12. El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

Sin perjuicio de lo dispuesto en el primer inciso de este artículo, la autoridad de control personales podrá autorizar una transferencia o una seria de transferencia de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.

Artículo 48. Carácter Adecuado Del País U Organismo Receptor.

El nivel de protección proporcionado por un país u organismo internacional o supranacional será evaluado por la autoridad de control, a pedido de parte interesada o de oficio y atendiendo a todas las circunstancias que concurran en una transferencia internacional; en particular, las normas de derecho, generales o especiales, vigentes en el país u organismo internacional o supranacional de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad que resulten aplicables, la naturaleza de los datos y la existencia de garantías judiciales e institucionales para el respeto a los derechos de protección de datos personales.

Artículo 49. Prueba Del Cumplimiento De Las Obligaciones En Materia De Transferencias Internacionales.

A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

Artículo 50. Servicio de tratamiento de datos personales por medios tecnológicos tercerizados.

El servicio de tratamiento de datos personales por medios tecnológicos tercerizados está permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos en la presente ley.

El responsable del tratamiento debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la presente Ley. El responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor. En especial, el responsable del tratamiento debe realizar esfuerzos razonables para controlar que el proveedor del servicio de tratamiento de datos personales por medios tecnológicos tercerizados:

1. Cuente con una política de protección de datos personales o condiciones de servicio que no sean incompatibles con las disposiciones previstas en la presente ley, y que su aplicación sea efectiva, y además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;

2. Informe los tipos de subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;

3. No incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad.

Artículo 51 Definición De Cláusulas Contractuales.

La definición del contenido de cláusulas contractuales, así como los mecanismos de autorregulación vinculante a que se refiere el último párrafo del art. 48 de esta ley, será realizada por la autoridad de control.

1. Para la verificación de lo dispuesto en el artículo 46, deberán considerarse los requisitos, las condiciones y las garantías mínimas para la transferencia que respeten los derechos, las garantías y los principios de esta ley.

2. En el análisis de cláusulas contractuales, de documentos o de normas corporativas globales sometidas a la aprobación de la autoridad nacional, podrán ser requeridas informaciones suplementarias o realizadas diligencias de verificación en cuanto a las operaciones de tratamiento, cuando sea necesario.

3. La autoridad nacional podrá designar organismos de certificación para la realización de lo previsto en el capítulo de este artículo, que permanecerán bajo su control en los términos definidos en el reglamento.

4. Los actos realizados por organismo de certificación podrán ser revisados ​​por la autoridad nacional y, en caso de incumplimiento de esta ley, sometidos a revisión o anulados.

5. Las garantías suficientes de observancia de los principios generales de protección y de los derechos del titular referidas en el artículo 51 serán también analizadas de acuerdo con las medidas técnicas y organizativas adoptadas por el operador.

Artículo 52. Sobre Las Garantías.

Las alteraciones en las garantías presentadas como suficientes de observancia de los principios generales de protección y de los derechos del titular referidas en el inciso .. del art. 48 de esta Ley deberán comunicarse a la autoridad nacional.

TÍTULO VII. AUTORIDADES DE PROTECCIÓN DE DATOS.

CAPÍTULO I. AUTORIDADES DE CONTROL

Artículo 53. Naturaleza De Las Autoridades De Control Y Supervisión

……………………….. se constituyen en las autoridades de control en materia de protección de datos personales con plena autonomía, de conformidad con la legislación nacional aplicable en la materia.

Compete a la ……….el ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos, .

Corresponde al ……………….. la asistencia técnica y a cualquier institución que lo solicite para la protección de datos personales.

Artículo 54. Nombramiento Y Remoción De Autoridades En Materia De Protección De Datos Personales.

Las autoridades y los funcionarios encargados de la protección de datos personales deberán ser nombradas en base a un concurso público de oposición y deberán contar con la experiencia y aptitudes, en particular respecto al ámbito de protección de datos personales, necesarios para el cumplimiento de sus funciones y el ejercicio de sus potestades. Solo podrán ser removidos por causales graves establecidas en la Ley 1626/2000 conforme a las reglas del debido proceso.

Artículo 55. Facultades De La Autoridad De Control.

La autoridad de control descrita en el artículo anterior se halla investida en los términos de la presente ley con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de ésta, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

Las decisiones de la autoridad de control únicamente estarán sujetas al control jurisdiccional, una vez agotada la instancia administrativa, debiendo promoverse la acción dentro de los dieciocho días ante el Tribunal de Cuentas.

La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Artículo 56 Estándares De Interoperabilidad.

La autoridad de control podrá disponer sobre estándares de interoperabilidad para fines de portabilidad, libre acceso a los datos y seguridad, así como sobre el tiempo de guarda de los registros, teniendo en cuenta especialmente la necesidad y la transparencia.

TITULO VIII. RECLAMACIONES Y SANCIONES

Artículo 57.Régimen De Reclamaciones Y De Imposición De Sanciones

Toda persona tendrá derecho a presentar su reclamación ante la autoridad de control, así como recurrir a la tutela judicial para hacer efectivos sus derechos conforme a las normas establecidas en la presente ley.

Artículo 58. Procedimiento Para La Reclamación.

El pedido será presentado por escrito o por medio informático, en la plataforma habilitada por la Autoridad de Control y deberá ser respondido por el medio elegido por el solicitante dentro del plazo de diez días. La autoridad encargada podrá requerir las informaciones a instituciones públicas y a particulares, que deberán responder dentro del plazo de cinco días. La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.

La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias.

La Autoridad de Control reglamentará el procedimiento a seguirse, no pudiendo exceder el lapso entre la petición y la resolución de treinta días, prorrogables por causa justificada por una sola vez.

Artículo 59. Régimen De Faltas Y Sanciones.

La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas que contravengan lo dispuesto en la presente ley y la legislación nacional vigente.

Artículo 60. Faltas Leves.

Se consideran leves y prescribirán al año, las siguientes infracciones:

1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.

2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

4. El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo… de esta ley.

5. El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

6. El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo … de esta ley.

7. La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.

8. No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo … de esta ley.

9. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley orgánica o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

10. Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida en el artículo… de esta ley.

11. La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo … de la presente ley.

Artículo 61. Faltas Graves.

En función de lo que establece la presente ley, consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en la ley, y en particular las siguientes:

1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

2. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.

3. Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

4. Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

5. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

6. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.

7. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

8. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

10. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.

11. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

12. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.

13. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo… de la presente ley.

14. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo… de esta ley.

15. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo… de esta ley.

16. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

17. No disponer del registro de actividades de tratamiento realizado por los encargados o delegados.

18. No cooperar o no poner a disposición de la autoridad de control que lo haya solicitado, el registro de actividades de tratamiento, conforme a lo establecido en el artículo… de esta ley.

19. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

20. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo … de la presente ley.

21. El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo … de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

22. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

23. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.

24. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo … de esta ley.

25. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

26. La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

27. Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos en la presente ley.

28. El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en el artículo… de esta ley.

Artículo 62. Faltas Muy Graves.

En función de lo que establece esta ley, se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél, y en particular las siguientes faltas:

1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la legislación vigente.

2. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

3. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

4. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

5. Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la autoridad de aplicación, en el caso de los responsables de bases de datos.

6. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

7. El tratamiento de datos personales vulnerando los principios y garantías establecidos en la presente ley.

8. El incumplimiento de los requisitos exigidos por la presente ley en relación la validez del consentimiento.

9. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

10. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el código penal del Paraguay.

11. La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos … de esta ley.

12. La vulneración del deber de confidencialidad establecido en el artículo … de esta ley.

13. La exigencia del pago de un canon para facilitar al afectado un informe sobre el uso de su información.

14. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos… de esta ley.

15.No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.

16. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.

17. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la reidentificación de los afectados.

Artículo 63. Sanciones.

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:

1. Para las faltas leves, una multa hasta de cinco jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

2. Para las faltas graves, una multa de cinco a veinte jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

3. Para las faltas MUY GRAVES, una multa de veinte a treinta jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de uno a seis meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.

Artículo 64. Prescripción De Las Sanciones.

Las sanciones impuestas en esta ley orgánica prescriben en los siguientes plazos:

1. Las sanciones por importe igual o inferior a cinco jornales mínimos, prescriben en el plazo de un año.

2. Las sanciones por importe comprendido entre cinco y veinte jornales mínimos prescriben a los dos años.

3. Las sanciones por un importe superior a veinte jornales mínimos prescriben a los tres años.

El plazo de prescripción de las sanciones comenzará a contarse desde el día hábil siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

TÍTULO IX. GARANTÍA DE LOS DERECHOS DIGITALES.

Artículo 65. Los Derechos En La Era Digital.

Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que Paraguay sea parte son plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación.

Artículo 66. Derecho a la neutralidad de Internet.

Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores de servicios de Internet proporcionarán una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.

Artículo 67. Derecho de acceso universal a Internet.

1. Todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica.

2. Se garantizará un acceso universal, asequible, de calidad y no discriminatorio para toda la población.

3. El acceso a Internet de hombres y mujeres procurará la superación de la brecha de género tanto en el ámbito personal como laboral.

4. El acceso a Internet procurará la superación de la brecha generacional mediante acciones dirigidas a la formación y el acceso a las personas mayores.

5. La garantía efectiva del derecho de acceso a Internet atenderá la realidad específica de los entornos rurales.

6. El acceso a Internet deberá garantizar condiciones de igualdad para las personas que cuenten con necesidades especiales.

Artículo 68. Derecho A La Seguridad Digital.

Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.

Artículo 69. Derecho A La Educación Digital.

El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Administraciones educativas deberán incluir en el diseño del bloque de asignaturas de libre configuración la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.

El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.

Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet

Artículo 70. Protección De Los Menores En Internet.

Los padres, madres, tutores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.

La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio de la Niñez, que instará las medidas cautelares y de protección previstas en las leyes vigentes en la República del Paraguay y el Código de la Niñez y Adolescencia.

Artículo 71. Derecho de rectificación en Internet.

Considerando el derecho a la libertad de expresión en Internet:

1. Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz.

2. Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.

Artículo 72. Derecho A La Actualización De Informaciones En Medios De Comunicación Digitales.

Toda persona tiene derecho a solicitar a los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.

En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior.

Artículo 73. Derecho A La Intimidad Y Uso De Dispositivos Digitales En El Ámbito Laboral.

Los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.

El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.

Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

Artículo 74. Derecho A La Desconexión Digital En El Ámbito Laboral.

Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.

Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.

El empleador elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Artículo 75. Derecho A La Intimidad Frente Al Uso De Dispositivos De Videovigilancia Y De Grabación De Sonidos En El Lugar De Trabajo.

Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el código laboral y en la legislación de la función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.

En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.

La utilización de sistemas similares a los referidos en los apartados anteriores para la grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores.

Artículo 76. Derecho A La Intimidad Ante La Utilización De Sistemas De Geolocalización En El Ámbito Laboral.

Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el código laboral y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

Artículo 77. Derechos Digitales En La Negociación Colectiva.

Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral.

Artículo 78. Protección De Datos De Los Menores En Internet.

Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo … de esta ley.

TÍTULO X. DISPOSICIONES FINALES

Artículo 79. DISPOSICIONES TRANSITORIAS. Esta Ley entrará en vigor después de transcurrido 24 (veinticuatro) meses de su publicación oficial .

Artículo 80. Derogación de Disposiciones Contrarias.

Quedan derogadas todas aquellas disposiciones que contradigan a las contenidas en la presente Ley (citar las leyes).

Artículo 81. Reglamentación.

El Poder Ejecutivo reglamentará está Ley a los 90 (noventa) días de su publicación.

Artículo 82. Comuníquese al Poder Ejecutivo.