Comentarios Recientes en este Documento
-
Sugerencia de redacción: se podría agregar que “La base jurídica que constituya el interés legítimo de un responsable, no deberá/podrá aplicarse al tratamiento de datos personales efectuado por las autoridades públicas en el ejercicio de sus funciones”
-
Una sugerencia de redacción podría ser: El interés legítimo del responsable del tratamiento puede constituir una base jurídica para el tratamiento de datos personales, siempre que no prevalezcan los intereses o los derechos o libertades de las personas físicas identificadas o identificables cuyos datos están siendo tratados [NO HAY DEFINICION DE “INTERESADOS” EN LA PRESENTE LEY]
-
Sugerencia de redacción: “El tratamiento de datos será lícito si se cumple al menos una de las siguientes condiciones” [1. decir que “el tratamiento de datos personales sólo podrá realizarse en los siguientes casos” puede resultar falso o estéril, puesto que igual, aunque no se den los casos del presente artículo, sí se podría efectivamente tratar datos, solamente que este tratamiento no sería lícito [o sea, sería ilícito]; 2. sería prudente expresar la la salvedad “si se cumple AL MENOS UNA de las siguientes condiciones, para evitar de forma contundente, confusiones sobre si las condiciones de este artículo son condiciones cumulativas o condiciones autónomas una de otra].
-
1. Si “el deber de confidencialidad” del art. 15 de esta ley modifica/precisa/amplía en cierta forma [la palabra utilizada es “será complementaria”, pero podría interpretarse válidamente que se trata de una modificación/ampliación o una precisón al numeral 2) de dicho art. 147] al art. 147 del CP; es pertinente notar que el art. 147 CP no puede ser dispensado de cumplimiento por la decisión de un juez o tribunal, por lo que si el presente art. 15 se pretende encuadrar bajo el numeral 2 del art. 147 CP, la dispensa del deber de confidencialidad no es posible.
2. La dispensa del deber de confidencialidad por parte de un juez o tribunal puede entenderse como una potestad exclusiva del ámbito judicial.
-
El “secreto profesional” está contemplado en el art. 147 del CP, no en el 174.
-
1. No se establece efectos de esta norma o “sanción” en caso de que sí se registren datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.
2. Se podría expresar que “esta cuestión será regulada por la Autoridad Competente”
-
Y las transferencias internacionales de datos personales que se “pudiesen” realizar ulteriormente no es un elemento pertinente a considerar?
-
Solamente “el responsable? Y qué hay del “encargado” o del “representante”?
-
1. No se establece una sanción o efecto en caso de que sí se”recaben datos personales por medios o métodos fraudulentos, engañosos, desleales o ilícitos”.
2. Un tratamiento de datos que da lugar a una “discriminación” pareciera encajar más en la definición de “licitud” [o ilicitud] que en la definición de “lealtad” [o deslealtad]
-
No se establece el plazo o el momento para la “revisión periódica”, por lo que convendría agregar: “… de conformidad al art. 12, apartado primero”
Comentarios en el Blog
PROYECTO DE LEY DE PROTECCIÓN DE DATOS PERSONALES - marzo de 2020 (85 comentarios)
Se podría establecer hasta un máximo en jornales mínimos , y diferenciar en los casos en que sean empresas que también se pueda optar por cobrar un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por el de mayor cuantía tal como lo establece en su Reglamento 2016/679 la Unión Europea.
Estas sanciones son muy bajas, si se establece un porcentaje como en el caso de la UE que son de 2% a 4% va ser mas factible que las empresas cumplan con esta ley.
En la última línea, se recomienda la fórmula: “… y los Tratados Internacionales de los cuales la República del Paraguay es parte.” Esto en atención a que no todos los acuerdos suscriptos por el Estado Paraguayo son parte del derecho interno del nuestro país, en virtud del proceso de internalización previsto en la CR.
Falta definir Datos Sensibles ya que en el Articulo 8 se menciona de manera especifica “En el caso de datos definidos por esta ley como datos sensibles” y al no haber una definición por parte de la ley, queda una laguna.
Se recomienda la fórmula: “…al tratamiento en todo el territorio nacional de datos…”. Esto en atención a que las bases de datos pueden estar localizadas en el exterior. La fórmula permite que el ámbito de aplicación sea el tratamiento de los datos y no la territorialidad o localización física de la base de datos, elemento que no se encuentra en la redacción actual.
En la última línea, se recomienda la fórmula: “… persecución, investigación y represión de crímenes y delitos.” Esto en consideración de que los delitos son una definición penal de un hecho antijurídico de menor gravedad que los crímenes, por lo que la inclusión de ambos conceptos beneficia al texto. La inclusión del término “persecución” hace referencia a la etapa prejusrisdiccio al realizada, por ejemplo, por la Policía Nacional y previa a la investigación fiscal propiamente dicha.
Se recomienda seguir estudiando esta excepción, en atención a que la misma puede evitar una mayor protección de los datos personales que este proyecto de ley pueda ofrecer, por su integralidad, en relación a la protección que pueda ofrecer la ley existente.
Se recomienda la fórmula: “Persona física sobre cuyos datos personales se realiza el tratamiento “.
Esto en atención a que en el punto 2 se da la definición de “datos personales”; por ello se reconoce mejor dar coherencia y conexión expresa a las definiciones y evitar que el concepto más general de “datos” pueda ofrecer otras interpretaciones en caso de conflicto.
Se recomienda reemplazar la frase “en el país” por la fórmula “en el territorio nacional”. Esto a efecto de determinar el país en el que se encuentra asentada la persona física o jurídica a la que hace referencia el punto de manera más precisa.
Se recomienda agregar al final del párrafo la fórmula: “…reconocidos expresamente por la República del Paraguay.” Esto en atención a que cualquier país u organización internacional puede citar estándares de cualquier en una negociación. Por ello es preciso dejar expreso de dichos estándares deben estar reconocidos por nuestro país, de antemano.
Se recomienda reemplazar la frase “cooperación judicial internacional” por la frase “cooperación jurídica internacional”.
Se recomienda incluir los medios sean físicos como digitales para la aceptación voluntaria del consentimiento del titular basados en el primer borrador. Este punto es clave para evitar ambiguedades en nuevos contextos de transformación digital , recomiendo sea redactado de la siguiente manera:
Puede ser obtenido por una declaración por escrito, incluidos medios electrónicos, así como por cualquier forma similar que la tecnología permita brindar y que demuestre la manifestación de voluntad del titular.
Se habla mas adelante de “Datos Personales Sensibles”. ¿No sería adecuado al menos establecer algunos lineamientos de qué incluyen, de manera a que una futura reglamentación no desvirtúe demasiado?
¿Aplica esto a los datos de una cuenta de correo electrónico corporativa? ¿Podría aplicar alguna legislacion vigente, como la de Propiedad Intelectual o Mensajes de Datos de Firma Digital?
En el caso de un incidente, a menudo es importante investigar en un plazo mas largo. Sugiero levantar a 6 meses.
Concuerdo con el comentario de Miguel. De esta forma queda establecido no solo el ámbito de aplicación material sino también el territorial.
No considero adecuada a esta excepción. Si bien puede ser exceptuada de algunas cuestiones, y solo para casos de investigación y persecución criminal, debe cumplir con otros derechos y principios de protección de datos personales.
La excepción “de seguridad pública y seguridad del estado” autorizaría actividades ilegales de inteligencia (OSINT, SOCMINT)
Podría incluirse que los metadatos, datos derivados o fragmentos de datos que colaboren en identificar al titular también son datos personales.
Incluiría “tratamientos parcialmente automatizados”.
+ “parcialmente automatizados”. De esta forma se incluye aquellos que tienen una mínima intervención humana (que muchas veces se utiliza como excusa para que no sea considerado elaboración de perfiles)
Incluir como elemento que sea obtenido de forma previa al tratamiento.
Eliminar “o una clara acción afirmativa”. El consentimiento tácito, como se conoce a esta fórmula, no es aceptado por los actuales estándares en la materia. Por ejemplo, las grandes compañías podrían argumentar que como se esta haciendo uso de su plataforma (clara acción afirmativa) tienen el consentimiento del usuario.
“medidas técnicas y organizativas por diseño y por defecto”. Ese agregado tiene por finalidad que desde el desarrollo de los productos y servicios se tenga en cuenta la seguridad y no que quede relegado a una etapa posterior donde ya los problemas no podrán ser salvados.
No creo que esto sea necesario, serían sencillamente recomendaciones pero el responsable debe adoptar las medidas necesarias de seguridad. Por una cuestión de economía legislativa, lo eliminaría puesto que carece de finalidad en este contexto.
Eliminar el “que den lugar a una discriminación injusta o arbitraria contra los titulares”. Sino se entiende que solo esos son los datos personales que no pueden recolectarse por esos medios.
Dato de contacto debe aclarar que debe incluir dirección de domicilio legal, número de teléfono y correo electrónico.
Podría agregarse otros datos que deben ser informados: tiempo de conservación, base legal por las que fueron obtenidos, etc.
Incluir metadatos
Incluir una fórmula genérica que permita luego ampliar este tipo de datos: “o cualquier otro dato que pueda derivar en discriminaciones arbitrarias.”
Este es un problema que ya se encuentra en la GDPR Habría que especificar con manifiestamente público. El hecho de que alguien revele un dato personal en una red social por ejemplo, no autoriza el procesamiento de ese dato.
(Por ejemplo, podría hacer una base de datos con perfil político en base a las opiniones en Twitter)
Interés público es muy amplio y puede dar lugar a abusos, se sugiere restringir esta excepción a ciertas finalidades específicas.
Agregar que para estas finalidades los datos deben ser anonimizados.
No conozco bien el marco legal, pero no se puede establecer una mecanismo de reclamo más simple previo a una acción de habeas data?
Eliminar, no puede usarse como excusa el interés público para no cumplir con los derechos. Esta es una fórmula dirigida a cometer abusos.
Tampoco, no como las autoridades públicas no van a cumplir con los derechos?!!!
Este artículo no tiene sentido. Uno puede ejercer el derecho de acceso en cualquiera de los casos expresados por ejemplo. Eliminar y agregar excepciónes puntuales de ser necesario.
Ampliar, no solamente el tratamiento sino el punto de contacto, finalidad, etc.
Y respecto a el tratamiento, deben explicarlo en lenguaje sencillo para que pueda ser comprendido.
Eliminar derecho al olvido. Es contrario al derecho a la libertad de expresión y acceso a la información.
Para la eliminación debe disponerse que solo puede requerirse en estos casos:
1. El tratamiento no cumpla con los principios de juridicidad, lealtad, transparencia y legitimidad;
2. El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;
3. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
4. Haya vencido el plazo de conservación de los datos personales;
5. Haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna.
No estoy seguro de está formula. Queda muy librado a la interpretación de un juez.
En general el derecho a oposición es la posibilidad de oponerse al tratamiento para ciertos fines, en especial el del punto 2, pero no de forma exclusiva como se interpreta del artículo.
Eliminar “únicamente”. Ya sucedió que se use como excusa una intervención mínima humana para que esta disposición no se aplique.
No entiendo el “comunicación con carácter previo”. Siempre debe pedirse consentimiento para las transferencias de datos previa a cualquier comunicación.
Sugiero eliminar este artículo. La videovigilancia es un tema más amplio que los datos personales. Requiere otro debate aparte para su regulación.
Debe garantizarse que estos datos estén anonimizados. Es un principio básico.
Incluir seguridad por diseño y por defecto. Es decir, durante el desarrollo de los productos y servicios.
Veo que aquí incluye algo que vengo solicitando pero no está explicado de la mejor forma:
1) debe hacer referencia a la etapa de desarrollo de los servicios y productos.
2) Aclarar que debe estar dirigido a garantizar la seguridad de los datos.
3) No queda claro quien debe tener en cuenta los conceptos de la segunda oración. Ello no puede quedar librado a la voluntad de los responsables sino que se le debe exigir el mayor nivel de seguridad.
Hay que procurar que la autoregulación no sea más laxa que la ley. En algunos países este tipo de códigos de conducta fueron utilizados para obviar la aplicación de algunas disposiciones de la ley y fueron aprobadas por la DPA.
La determinación de el potencial dañoso no debe quedar en manos del responsable sino de la autoridad de aplicación.
Agregaría la leyenda de que esos tratados deben tener como base la presente ley.
Nuevamente “interés público. Es muy amplio. Dejar solamente para la procuración o administración de justicia.
Quien los nombra?
Pueden prescribir pero a partir desde que el titular se anoticia de la infracción.
Esto debe ir en faltas graves
Debe ir en faltas graves
Considerar juntar graves y muy graves
Son muy bajas. Concuerdo con el comentario de Marlene, en el caso de empresas debe ser un porcentaje del volumen del negocio. En su defecto, nadie va a cumplir con la ley (esta fue la razón principal por la cual las empresas no cumplían con el convenio 108 de la UE y debió sancionarse la GDPR)
Sacar todo este título. No hace a la protección de datos personales.
Esto puede incorporarse como un derecho pero dirigido a educar sobre la importancia de la protección de los datos personales.
Este es un tema muy complejo que no puede ser regulado a la ligera. Como esta estipulado en este artículo puede haber serios conflictos con la libertad de expresión.
Aquí se debe prever la posibilidad de que una persona SÍ apruebe el acceso a sus datos personales para la gestión de créditos y productos/servicios financieros. Por ejemplo cuando una institución financiera necesita acceder a datos de su cliente que se encuentren en otra institución financiera/comercial. Así como sucede en la UE, Open Banking, regulado a través del estandard PSD2.
El secreto es un elemento considerado también en el Código Penal, en los casos de personas obligadas como médicos, abogados, farmacéuticos, escribanos, etc
Cuál es la razón por la que no están contempladas personas jurídicas?
Tal vez, en lugar de decir “por cuenta”, sería mejor el término: “representación o mandato”
Existen casos en los que una persona adulta, no tiene las cualidades legales mencionadas, y sin embargo tiene al menor a su cargo
El término resolución judicial es restrictivo. Sería mejor: decisión de un juez o tribunal. En juicios orales, la autorización la puede otorgar el tribunal en el momento en que declara quien invoca secreto
Me parece que la palabra tratamiento no es lo suficientemente precisa o adecuada
No es recomendable mencionar la inversión de la carga de la prueba, porque esto contradice el debido proceso. En todo caso, describir una norma de competencia para que el juez, si lo considera ordene la prueba de oficio
No es una buena redacción “sólo no serán”. Sugiero: Los agentes estarán exentos de responsabilidad cuando:
-No hayan…
-No hubiera violación..
-El daño es atribuible al titular o a un tercero
En la primera oración se recomienda la siguiente inclusión: “La presente Ley tiene por objeto la protección integral de los datos personales de las personas físicas a
fin de garantizar el ejercicio pleno de los derechos de sus titulares…”
Siguiendo la línea del comentario de arriba, con el cual concuerdo, se sugiere la agregación al final de “independientemente de que el tratamiento tenga lugar en el Paraguay o no mientras sea de titulares paraguayos ..”
Se sugiere agregar la siguiente definición “5. Anonimización o seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. “
se sugiere la agregación de la palabra seudonimización así como el siguiente párrafo. Quedando el artículo de la siguiente forma: “Los datos personales serán exactos, completos y actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.
Se adoptarán las medidas razonables para que la supresión o rectificación de datos pueda llevarse a cabo sin dilación.”
Se sugiere eliminar la siguiente oración “teniendo en cuenta la tecnología disponible.” teniendo en cuenta que ello podría dar pie a a fin eludir la responsabilidad.
Se sugiere la siguiente redacción “En el tratamiento de datos personales requerirá la adopción de medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la adullteración, pérdida, tratamiento o acceso no autorizado, así como detectar desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. “
Se sugiere la agregación del siguiente párrafo final “El tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales. “
A fin de dejar claro, se sugiere la agregación de la siguiente oración “El tratamiento será proporcional al fin legítimo perseguido. “
Se sugiere la siguiente redacción “El titular de datos puede solicitar la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.
La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen .
Cuando los datos personales no se hayan obtenidos del titular, el responsable del tratamiento le facilitará toda la información pertinente a dicha obtención.”
Se sugiere la siguiente redacción: “El titular de datos tendrá el derecho a solicitar y obtener el acceso a sus datos personales que obren en posesión del responsable, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento.”
Se sugiere la agregación del siguiente párrafo al final “La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, los cuales fueran debida y legalmente justificados, o cuando existiera una obligación legal de conservar los datos.”
Se sugiere la siguiente redacción “Tratándose del inciso anterior, cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales deberán dejar de ser tratados para dichos fines en un plazo de 1 mes desde el envío de la solicitud de oposición.”
Se sugiere la agregación de un supuesto, quedando la redacción de la siguiente manera “Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:
1. Cuando revistan el carácter de autoridades u organismos públicos;
2. Se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento;
3. Se realice tratamiento de datos a gran escala.
4. Cuando los responsables y encargado del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo ….
5. Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa. Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.
6. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 42. “
Se sugiere la siguiente redacción para el punto 6: “6. Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;”
Así como la inclusión del siguiente párrafo final: “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. “
Se sugiere la siguiente redacción “El encargado debe realizar este tratamiento en base a lo establecido en la presente ley, en relación a seguridad, transparencia, fiabilidad, almacenamiento, destrucción de los datos y a los principios establecidos por la presente ley.”
Se sugiere la siguiente redacción “Los agentes de tratamiento no serán responsables cuando puedan probar fehacientemente:”
Se sugiere la agregación de un artículo que contenga las funciones de la autoridad de control. Redacción sugerida: “Artículo … Funciones de la Autoridad de Control.
Adicionalmente al resto de las funciones en virtud de la presente ley, corresponderá a la autoridad de control:
1. Controlar y hacer aplicar la presente ley.
2. Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
3. Brindar información y tratar las reclamaciones de cualquier interesado en relación con el ejercicio de sus derechos en virtud de la presente ley.
4. Desempeñar cualquier otra función relacionada con la protección de los datos personales.”
No me parece buena idea hacer solidariamente responsable al delegado, se desnaturaliza su funcion y nadie va a querer ser delegado. no es asi en el RGPD… esto es importante porque el delegado sirve para que la cultura de la PDP este en la empresa, pero si ponen esto nadie va a querer ser delegado…
el estandar lo determina la autorida de PDP en funcion de la ley paraguaya, no de los estandares internacionales.
como el pais de destino de los datos debe ser adecuado a Paraguay, el estandar debe ser la ley paraguaya no otros estandares internacionales.
ademas el concepto de estandares de derecho internacional o regional es muy amplio y confuso…
Concuerdo con el comentario anterior en el sentido de que, se debería estudiar con mayor profunidad el alcance de la presente excepción, a fin de prever que no se estén excluyendo de la aplicación del presente Proyecto de Ley, datos que, si bien podrían están regulados en otras leyes, no tengan un marco regulatorio de protección equivalente al previsto en el presente Proyecto de Ley.
BORRADOR LEY DE DATOS PERSONALES EN PARAGUAY - 28 de enero de 2021 (18 comentarios)
Se debería agregar una aclaración respecto a que la ley del lugar donde se encuentra el responsable del tratamiento no sólo debe ser más favorable sino que también le deba resultar aplicable a dicho tratamiento de datos.
Sería una cuestión de buena técnica legislativa precisar el ámbito de aplicación del presente articulado, esto es, se podría detallar que aquí se trata del ámbito de aplicación “territorial” [en el presente proyecto de ley no hay ámbito de aplicación material]
No parecería tener mucha efectividad el art. 4 del presente proyecto de ley, pues tiene como fuente al art. 23 de la GDPR de la UE, y el art. 23 GDPR busca limitar al Reglamento 2016/679 [GDPR] cuando colisione con i) otra norma de la Unión Europea o ii) con el derecho nacional de un Estado miembro de la UE; Pero, como en este caso no se trata de una norma “comunitaria” sino de una ley puramente nacional, se pierde el verdadero efecto buscado por el art. 23 GDPR [que era la limitación de la GDPR cuando colisione con otra norma de la UE o con el Derecho de un Estado miembro de la UE -medidas legislativas mediante-]
Parecería que la definición de “datos personales sensibles” arranca con una numeración explícita de lo que debe entenderse por “datos personales sensibles” y que luego se aboca a una noción muy general y abstracta: “… en general, los que fomenten prejuicios..”
No hay una definición de “interesado” como en la GDPR; y el término “interesado” es empleado más de una vez en el presente proyecto de ley
Sugerencia de agregado: “… salvo lo dispuesto en el art. 12, apartado segundo”
El responsable y el encargado únicamente? Y si los datos son tratados/procesados por el “representante” y no por el responsable o el encargado?
El responsable y el encargado únicamente? Y qué pasa en el caso en que los datos son recolectados/procesados por el “representante” y no por el responsable o el encargado?
No se establece el plazo o el momento para la “revisión periódica”, por lo que convendría agregar: “… de conformidad al art. 12, apartado primero”
1. No se establece una sanción o efecto en caso de que sí se”recaben datos personales por medios o métodos fraudulentos, engañosos, desleales o ilícitos”.
2. Un tratamiento de datos que da lugar a una “discriminación” pareciera encajar más en la definición de “licitud” [o ilicitud] que en la definición de “lealtad” [o deslealtad]
Solamente “el responsable? Y qué hay del “encargado” o del “representante”?
Y las transferencias internacionales de datos personales que se “pudiesen” realizar ulteriormente no es un elemento pertinente a considerar?
1. No se establece efectos de esta norma o “sanción” en caso de que sí se registren datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.
2. Se podría expresar que “esta cuestión será regulada por la Autoridad Competente”
El “secreto profesional” está contemplado en el art. 147 del CP, no en el 174.
1. Si “el deber de confidencialidad” del art. 15 de esta ley modifica/precisa/amplía en cierta forma [la palabra utilizada es “será complementaria”, pero podría interpretarse válidamente que se trata de una modificación/ampliación o una precisón al numeral 2) de dicho art. 147] al art. 147 del CP; es pertinente notar que el art. 147 CP no puede ser dispensado de cumplimiento por la decisión de un juez o tribunal, por lo que si el presente art. 15 se pretende encuadrar bajo el numeral 2 del art. 147 CP, la dispensa del deber de confidencialidad no es posible.
2. La dispensa del deber de confidencialidad por parte de un juez o tribunal puede entenderse como una potestad exclusiva del ámbito judicial.
Sugerencia de redacción: “El tratamiento de datos será lícito si se cumple al menos una de las siguientes condiciones” [1. decir que “el tratamiento de datos personales sólo podrá realizarse en los siguientes casos” puede resultar falso o estéril, puesto que igual, aunque no se den los casos del presente artículo, sí se podría efectivamente tratar datos, solamente que este tratamiento no sería lícito [o sea, sería ilícito]; 2. sería prudente expresar la la salvedad “si se cumple AL MENOS UNA de las siguientes condiciones, para evitar de forma contundente, confusiones sobre si las condiciones de este artículo son condiciones cumulativas o condiciones autónomas una de otra].
Una sugerencia de redacción podría ser: El interés legítimo del responsable del tratamiento puede constituir una base jurídica para el tratamiento de datos personales, siempre que no prevalezcan los intereses o los derechos o libertades de las personas físicas identificadas o identificables cuyos datos están siendo tratados [NO HAY DEFINICION DE “INTERESADOS” EN LA PRESENTE LEY]
Sugerencia de redacción: se podría agregar que “La base jurídica que constituya el interés legítimo de un responsable, no deberá/podrá aplicarse al tratamiento de datos personales efectuado por las autoridades públicas en el ejercicio de sus funciones”