Habeas Data – Datos Personales – Privacidad

Proyecto PEN de habeas data y datos personales para Uruguay (proyecto)

Posted: enero 18th, 2009 | Author: | Filed under: Proyecto de Ley, Uruguay | Tags: | Comentarios desactivados

Poder Legislativo / República Oriental del Uruguay

Comisión de Constitución, shop Códigos, visit this site
Legislación General y Administración
Carpeta Nº 2497 de 2008 Repartido Nº 1224
Abril de 2008

PROTECCIÓN DE DATOS PERSONALES Y ACCIÓN DE “HABEAS DATA”

PODER EJECUTIVO
Montevideo, rubella 16 de setiembre de 2007.
Señor Presidente de la Asamblea General

El Poder Ejecutivo tiene el honor de dirigirse a ese Cuerpo a los efectos de someter a su consideración el Proyecto de Ley que se acompaña.

Con la amplia difusión de las tecnologí­as de la información y las comunicaciones, el tratamiento de los datos personales se encuentra en una situación de tensión. í‰sta deriva del valor asociado a las bases de datos personales -en virtud de los potenciales beneficios, producto de su uso en actividades económicas, polí­ticas o sociales-, al tiempo que las personas titulares de los datos tienen derecho a conocer el tratamiento al que están siendo sometidos sus datos personales y preservar su privacidad.

El presente proyecto de ley de protección de datos personales tiene como objeto establecer un marco jurí­dico claro y necesario para garantizar y hacer efectivo uno de los derechos fundamentales del ser humano, como es el del derecho a la protección de los datos de carácter personal y por tanto de la intimidad de las personas.

El artí­culo 72 de la Constitución establece: “La enumeración de derechos, deberes y garantí­as hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno”.

Se desprende de este artí­culo 72 que el Derecho a la Protección de Datos Personales es un derecho inherente a la persona humana, siendo por tanto un derecho fundamental con rango constitucional, que debe ser tutelado y garantizado especialmente por el Estado.

Tengamos en cuenta que la libertad de expresión se compone de dos derechos fundamentales: la libertad de opinión y la libertad de información. La libertad de opinión y de conciencia implica el derecho a no ser molestado ni discriminado por las ideas o creencias personales.

La libertad de información o informática aparece como un nuevo derecho de autotutela de la propia identidad, o sea el derecho de controlar (conocer, corregir, quitar o agregar) los datos personales inscriptos en un fichero.

El proyecto tiene la caracterí­stica de incluir a todos los datos personales, a diferencia de la Ley Nº 17.838 que regula en exclusividad los datos destinados a brindar informes de carácter comercial, manteniéndose el marco regulatorio de los mismos.

Referente al proceso de Habeas Data podemos cotejarlo con el Habeas Corpus y vemos que existe una coincidencia en cuanto a la naturaleza jurí­dica, ya que no se trata de derechos fundamentales, sino de instrumentos o garantí­as procesales de defensa de los derechos a la libertad personal (habeas corpus) y de la libertad informática (habeas data). El procedimiento propuesto incorpora algunas modificaciones al vigente, que entendemos mejora y esclarece algunos aspectos del mismo, y lo convierte en una herramienta útil, ya se trate de habeas data propio o impropio.

Nuestro paí­s necesita contar con una normativa como la prevista, no solo en cuanto a la regulación especí­fica de los derechos que constitucionalmente poseen los ciudadanos, sino también en el relacionamiento con terceros paí­ses.

El presente marco normativo, permitirí­a a Uruguay encuadrar dentro de los requerimientos de la Unión Europea como paí­s seguro en cuanto al enví­o de datos, ya que los elementos considerados a tales efectos son: en primer lugar, asegurar un nivel satisfactorio de cumplimiento de las normas, lo que presupone la existencia de una ley de protección de datos, que se posea un órgano de control y un régimen sancionatorio. En segundo lugar la posibilidad de ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos. Esto presupone la existencia de un organismo que entre sus tareas incluya: asesoramiento a los ciudadanos sobre sus derechos, campañas de difusión sobre los derechos sobre los datos personales y cursos formativos para profesionales y/o titulares de bases de datos. En tercer lugar ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas, tanto en ví­a administrativa (ante el organismo de control) como en ví­a jurisdiccional (acción de habeas data).

Sin entrar a valorar los aspectos relativos a la defensa de los derechos humanos, desde el punto de vista estrictamente económico, ser un paí­s con nivel de protección de datos personales no adecuado, constituye una potencial barrera no arancelaria para el acceso a mercados y para la captación de inversiones, particularmente aquellos pertenecientes a la Unión Europea.

La adecuación permitirí­a la captación de inversiones en el sector tecnológico y de servicios provenientes de paí­ses que exigen el nivel de protección de datos personales explicitado.

Por otra parte en el marco de la Reforma del Estado es necesario garantizar el uso adecuado de datos personales en un contexto donde se incrementará en forma significativa el intercambio electrónico de datos entre los diferentes organismos del Estado.

Resumen del proyecto.

El proyecto de ley de Protección de Datos Personales está estructurado en los siguientes capí­tulos:
I. Disposiciones generales

II. Principios Generales

III. Derechos de los titulares de los datos

IV. Datos especialmente protegidos

V. Ficheros de titularidad pública

VI. Ficheros de titularidad privada

VII. Órgano de Control

VIII. Acción de Protección de Datos Personales

IX. Disposiciones transitorias

En el capí­tulo primero se establece el objetivo del presente proyecto de ley, que consiste en reconocer legislativamente el derecho fundamental a la protección de datos personales reconocido en el artí­culo 72 de nuestra Constitución.

Tiene además, como objeto, proteger los datos personales, garantizando el derecho al honor y a la libertad de las personas y el acceso a la información que sobre las mismas se registre.

El capí­tulo segundo consagra los principios generales en materia de protección de datos, que son: juridicidad, veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad.

Los derechos de los titulares de los datos se encuentran regulados en el capí­tulo III, reconociendo los siguientes derechos: a la información, a la información durante la recolección de los datos, de acceso, a la rectificación, actualización y la eliminación o supresión de los datos, a la impugnación de valoraciones personales y referentes a la comunicación de los datos.

Se dedica el capí­tulo IV a la protección de los datos sensibles, realizando un marco para los datos relativos a la salud, a las telecomunicaciones, a ficheros con fines de publicidad, a la actividad comercial o crediticia y a la transferencia internacional de datos.

Los capí­tulos V y VI refieren a la regulación de los ficheros de titularidad pública y privada respectivamente.

En el capí­tulo VII se establece que el Órgano de Control en esta materia será una Unidad Reguladora y de Control de Datos Personales, la cual funcionará en forma desconcentrada de la AGESIC, definiendo los cometidos y estableciendo las potestades sancionatorias de la misma.

El capí­tulo VIII establece las acciones procesales para efectivizar la protección de los datos regulada en la ley.

Finalmente, el capí­tulo IX establece el régimen transitorio y el traslado del régimen actual y órgano de control de los datos comerciales, incluyéndolos dentro del régimen general.

El Poder Ejecutivo saluda a ese Cuerpo con la mayor consideración.
TABARí‰ VíZQUEZ
RICARDO BERNAL
BELELA HERRERA
DANILO ASTORI
AZUCENA BERRUTI
JORGE BROVETTO
VíCTOR ROSSI
JORGE LEPRA
EDUARDO BONOMI
MARíA J. MUÑOZ
JOSí‰ MUJICA
Hí‰CTOR LESCANO
MARIANO ARANA
MARINA ARISMENDI

PROYECTO DE LEY
CAPíTULO I -“ DISPOSICIONES GENERALES

Artí­culo 1º.- Derecho Humano Fundamental.

El derecho a la protección de datos personales es inherente a la persona humana, según lo reconoce el artí­culo 72 de la Constitución de la República.

Artí­culo 2º.- Objeto.

La presente ley tiene por objeto garantizar y proteger los datos personales de personas fí­sicas y jurí­dicas asentados en bases de datos, sean éstos públicos o privados.

Artí­culo 3º.- ímbito de aplicación.

El régimen de la presente ley:

3.1. Será de aplicación a los datos personales registrados en cualquier soporte, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado.

3.2. No será de aplicación a la siguientes bases de datos:
a) A los mantenidos por personas fí­sicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) Los que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito.

c) A las bases de datos creadas y reguladas por leyes especiales.

Artí­culo 4º.- Definiciones.

A los efectos de la presente ley se entiende por:
a) Consentimiento del titular: toda manifestación de voluntad, libre, inequí­voca, especí­fica e informada, mediante la cual el titular consienta el tratamiento de datos personales que le concierne.

b) Comunicación de datos: toda revelación de datos realizada a una persona distinta del titular de los datos.

c) Dato personal: información de cualquier tipo referida a personas fí­sicas o jurí­dicas determinadas o determinables.

d) Dato sensible: datos personales que revelan origen racial y étnico, preferencias polí­ticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud, a la vida sexual y a toda otra zona reservada a la libertad individual.

e) Destinatario: persona fí­sica o jurí­dica, pública o privada, que recibiere comunicación de datos, se trate o no de un tercero.

f) Disociación de datos: todo tratamiento de datos personales de manera que la información obtenida no pueda vincularse a persona determinada o determinable.

g) Encargado del tratamiento: persona fí­sica o jurí­dica, pública o privada que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o tratamiento.

h) Base de datos: indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.

i) Fuentes accesibles al público: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.

j) Tercero: la persona fí­sica o jurí­dica, pública o privada, distinta del titular del dato, del responsable de la base de datos o tratamiento, del encargado y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento.

k) Responsable de la base de datos o tratamiento: persona fí­sica o jurí­dica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.

l) Titular de los datos: persona cuyos datos sean objeto de un tratamiento incluido dentro del ámbito de acción de la presente Ley.

m) Tratamiento de datos: operaciones y procedimientos sistemáticos de carácter automatizado o no, que permitan el procesamiento de datos personales, así­ como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

n) Usuario de datos: toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en una base de datos propia o a través de conexión con los mismos.
CAPíTULO II – PRINCIPIOS GENERALES

Artí­culo 5º.- Valor y fuerza.

La actuación de los responsables de las bases de datos, tanto públicos como privados, y, en general, de todos quienes actúen en relación a datos personales de terceros, deberá ajustarse a los siguientes principios generales:
a) legalidad;

b) veracidad;

c) finalidad;

d) previo consentimiento informado;

e) seguridad de los datos; y

f) reserva; y

g) responsabilidad.

Dichos principios generales servirán también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de las disposiciones pertinentes.

Artí­culo 6º.- Principio de legalidad.

La formación de bases de datos será lí­cita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establecen la presente ley y las reglamentaciones que se dicten en consecuencia.

Las bases de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.

Artí­culo 7º.- Principio de veracidad.

7.1. Los datos personales que se recogieren a los efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la cual se hubieren obtenido. La recolección de datos no podrá hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a las disposiciones de la presente ley.

7.2. Los datos deberán ser exactos y actualizarse en el caso de que ello fuere necesario. Los datos total o parcialmente inexactos o incompletos, deben ser en su caso suprimidos, sustituidos o completados, por datos veraces y actualizados por el responsable de su tratamiento en cuanto tenga conocimiento de dichas circunstancias. Asimismo, deberán ser eliminados aquellos datos que hayan caducado de acuerdo a lo previsto en la presente ley.

Artí­culo 8º.- Principio de finalidad.

8.1. Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

8.2. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a Ios fines para los cuales hubieren sido recolectados.

8.3. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular.

Artí­culo 9º.- Principio del previo consentimiento informado.

9.1. El tratamiento de datos personales de personas fí­sicas es ilí­cito cuando el titular no hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. Para el caso de las personas jurí­dicas, deberá requerirse autorización de los representantes con facultades suficientes, o de sus titulares.

El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artí­culo 12 de la presente ley.

9.2. No será necesario el previo consentimiento cuando:
a) Los datos provengan de fuentes públicas de información, tales como registros p, o publicaciones en medios masivos de comunicación;

b) Se recaben para el ejercicio de funciones propias de los Poderes del Estado o en virtud de una obligación legal;

c) Se trate de listados cuyos datos se limiten en el caso de personas fí­sicas a nombres y apellidos, documento de identidad, nacionalidad y fecha de nacimiento; y en el caso de personas jurí­dicas, razón social, nombre de fantasí­a, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma.

d) Deriven de una relación contractual, cientí­fica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento;

e) Se realice por personas fí­sicas o jurí­dicas, privadas o públicas para su uso exclusivo, personal o doméstico.

Artí­culo 10.- Principio de seguridad de los datos.

10.1. El responsable o usuario de la base de datos debe adoptar las medidas técnicas y organizativas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitieren detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

10.2. Los datos deberán ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.

10.3. Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.

Artí­culo 11.- Principio de reserva.

11.1. Aquellas personas fí­sicas o jurí­dicas que obtuvieren legí­timamente información proveniente de una base de datos que les brinde tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.

11.2. Las personas que por su situación laboral u otra forma de relación con el responsable de una base de datos tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto’ secreto profesional sobre los mismos (artí­culo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. Lo previsto no será de aplicación en los casos de orden de la Justicia competente, de acuerdo con las normas vigentes en esta materia o si mediare consentimiento del titular.

Esta obligación subsistirá aun después de finalizada la relación con el responsable de la base de datos.

Artí­culo 12.- Principio de responsabilidad.

El responsable de la base de datos es responsable de la violación de las disposiciones de la presente ley.
CAPíTULO III – DERECHOS DE LOS TITULARES DE LOS DATOS

Artí­culo 13.- Derecho de información frente a la recolección de datos.

Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequí­voca:
a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;

b) La existencia de la base de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles;

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o su inexactitud;

e) La posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos.

Artí­culo 14.- Derecho de acceso.

Todo titular de datos personales que previamente acredite su identificación con el documento de identidad o poder respectivo, tendrá derecho a obtener toda la información que sobre sí­ mismo se halle en bases de datos públicas o privadas. Este derecho de acceso sólo podrá ser ejercido en forma gratuita a intervalos de seis meses, salvo que se hubiere suscitado nuevamente un interés legí­timo de acuerdo con el ordenamiento jurí­dico.

Cuando se trate de datos de personas fallecidas, el ejercicio del derecho al cual refiere este artí­culo, corresponderá a cualesquiera de sus sucesores universales, cuyo carácter se acreditará por la sentencia de declaratoria de herederos.

La información debe ser proporcionada dentro de los cinco dí­as hábiles de haber sido solicitada. Vencido el plazo sin que el pedido sea satisfecho o si fuera denegado por razones no justificadas de acuerdo con esta ley, quedará habilitada la acción de habeas data.

La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

Artí­culo 15.- Derecho de rectificación, actualización o supresión.

Toda persona fí­sica o jurí­dica tendrá derecho a solicitar la rectificación, actualización o supresión de los datos personales que le corresponda incluidos en un base de datos, al constatarse error o falsedad en la información de la que es titular.

El responsable de la base de datos o tratamiento deberá proceder a realizar la rectificación, actualización, o supresión, mediante las operaciones necesarias a tal fin en un plazo máximo de cinco dí­as hábiles de recibida la solicitud por el titular del dato o, en su caso, informar de las razones por las que estime no corresponde.

El incumplimiento de esta obligación por parte del responsable de la base de datos o tratamiento o el vencimiento del plazo, habilitará al titular del dato a promover la acción de habeas data prevista en esta ley.

No procede la eliminación o supresión de datos personales salvo en aquellos casos de notorio error o falsedad, se pueda causar perjuicio a los derechos o intereses legí­timos de terceros o cuando contravenga lo establecido por una obligación legal.

Durante el proceso de verificación o rectificación de datos personales, el responsable de la base de datos o tratamiento ante el requerimiento de terceros para acceder a informes sobre los mismos, deberá dejar constancia que dicha información se encuentra sometida a revisión.

En el supuesto de comunicación, o transferencia de datos, el responsable de la base de datos o tratamiento debe notificar la rectificación o supresión al destinatario dentro del quinto dí­a hábil de efectuado el tratamiento del dato.

La rectificación, actualización, eliminación o supresión de datos personales cuando corresponda, se efectuará sin cargo alguno para el titular.

Artí­culo 16.- Derecho a la impugnación de valoraciones personales.

16.1. Las personas tienen derecho a no verse sometidas a una decisión con efectos jurí­dicos, sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinado a evaluar determinados aspectos de su personalidad.

16.2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos personales que ofrezca una definición de sus caracterí­sticas o personalidad.

16.3. En este caso, el afectado tendrá derecho a obtener información del responsable de la base de datos sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión manifestada en el acto.

16.4. La valoración sobre el comportamiento de las personas, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Artí­culo 17.- Derechos referentes a la comunicación de datos.

17.1. Los datos personales objeto de tratamiento sólo podrán ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legí­timo del emisor y del destinatario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la comunicación e identificar al destinatario o los elementos que permitan hacerlo.

17.2. El previo consentimiento para la comunicación es revocable.

17.3. El previo consentimiento no será necesario cuando:
a) Así­ lo disponga una ley de interés general;

b) En los supuestos del artí­culo 9º de la presente ley;

c) Se trate de datos personales relativos a la salud y sea necesario por razones de salud e higiene públicas, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;

d) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos no sean identificables.

17.4. El destinatario quedará sujeto a las mismas obligaciones legales y reglamentarias del emisor y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
CAPíTULO IV – DATOS ESPECIALMENTE PROTEGIDOS

Artí­culo 18.- Datos sensibles.

18.1. Ninguna persona puede ser obligada a proporcionar datos sensibles. í‰stos solo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular.

18.2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadí­sticas o cientí­ficas cuando se disocien de sus titulares.

18.3. Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. Se exceptúan aquellos que posean los partidos polí­ticos, sindicatos, iglesias, confesiones religiosas, asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea polí­tica, religiosa, filosófica, sindical, que hagan referencia al origen racial, a la salud y a la vida sexual, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio que la comunicación de dichos datos precisará siempre el previo consentimiento del titular del dato.

18.4. Los datos personales relativos a la comisión de infracciones penales, civiles o administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas, sin perjuicio de las autorizaciones que la ley otorga u otorgare. Nada de lo establecido en esta ley impedirá a las autoridades públicas comunicar o hacer pública la identidad de las personas fí­sicas o jurí­dicas que estén siendo investigadas por, o hayan cometido, infracciones a la normativa vigente, en los casos en que otras normas lo impongan o en los que lo consideren conveniente.

Artí­culo 19.- Datos relativos a la salud.

Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud fí­sica o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa especí­fica y lo establecido en la presente ley.

Artí­culo 20.- Datos relativos a las telecomunicaciones.

Los operadores que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos personales conforme a la presente ley.

Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar sus niveles de protección de los datos personales que sean exigidos por la normativa de desarrollo de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.

La regulación contenida en esta ley se entiende sin perjuicio de lo previsto en la normativa especí­fica sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional.

Artí­culo 21.- Datos relativos a bases de datos con fines de publicidad.

21.1. En la recopilación de domicilios, reparto de documentos, publicidad, venta u otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

21.2. En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

21.3. El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de los bancos de datos a los que se refiere el presente artí­culo.

Artí­culo 22.- Datos relativos a la actividad comercial o crediticia.

22.1. Queda expresamente autorizado el tratamiento de datos personales destinados a brindar informes objetivos de carácter comercial, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor o en las circunstancias previstas en la presente ley. Para el caso de las personas jurí­dicas, además de las circunstancias previstas en la presente ley, se permite el tratamiento de toda información autorizada por la normativa vigente.

22.2. Los datos personales relativos a obligaciones de carácter comercial de personas fí­sicas sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá solicitar al responsable de la base de datos, por única vez, su nuevo registro por otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de treinta dí­as anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción.

22.3. Los responsables de las bases de datos se limitarán a realizar el tratamiento objetivo de la información registrada tal cual ésta le fuera suministrada, debiendo abstenerse de efectuar valoraciones subjetivas sobre la misma.

22.4. Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá, en un plazo máximo de cinco dí­as hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos o tratamiento correspondiente. Una vez recibida la comunicación por el responsable de la base de datos o tratamiento, éste dispondrá de un plazo máximo de tres dí­as hábiles para proceder a la actualización del dato, asentando su nueva situación.

Artí­culo 23.- Datos transferidos internacionalmente.

23.1. Se prohí­be la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales, que no proporcionen niveles de protección adecuados, de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

23.2. La prohibición no regirá en los siguientes supuestos:
a) Cooperación judicial internacional;

b) Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del afectado por razones de salud o higiene públicas;

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Oriental del Uruguay sea parte;

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
CAPíTULO V – BASES DE DATOS DE TITULARIDAD PíšBLICA

Artí­culo 24.- Creación, modificación o supresión.

La creación, modificación o supresión de base de datos pertenecientes a organismos públicos deberán registrarse conforme lo previsto en el capí­tulo siguiente.

Artí­culo 25.- Base de datos correspondientes a las Fuerzas Armadas, Organismos Policiales o de Inteligencia.

25.1. Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

25.2. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales o inteligencia, sin previo consentimiento de los titulares, queda limitado a aquellos supuestos y categorí­a de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser especí­ficas y establecidas al efecto, debiendo clasificarse por categorí­as, en función de su grado de fiabilidad.

25.3. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Artí­culo 26.- Excepciones a los derechos de acceso, rectificación y cancelación.

26.1. Los responsables de las bases de datos que contengan los datos a que se refieren los apartados 25.2 y 25.3 del artí­culo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

26.2. Los responsables de las bases de datos de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el titular del dato esté siendo objeto de actuaciones inspectivas.

26.3. El titular del dato al que se deniegue total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Órgano de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artí­culo 27.- Excepciones al derecho a la información.

Lo dispuesto en la presente ley no será aplicable a la recolección de datos, cuando la información del titular, afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales.
CAPíTULO VI – BASES DE DATOS DE TITULARIDAD PRIVADA

Artí­culo 28.- Creación, modificación o supresión.

Las personas fí­sicas o jurí­dicas privadas que creen, modifiquen o supriman bases de datos de carácter personal, que no sean para un uso exclusivamente individual o doméstico, deberán registrarse conforme lo previsto en el artí­culo siguiente.

Artí­culo 29.- Inscripción registral.

29.1. Toda base de datos pública o privada debe inscribirse en el Registro que al efecto habilite el Órgano de Control.

29.2. Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que deberá contener la inscripción, entre los cuales figurarán necesariamente los siguientes:
a) Identificación de la base de datos y el responsable de la misma;

b) Naturaleza de los datos personales que contiene;

c) Procedimientos de obtención y tratamiento de los datos;

d) Medidas de seguridad y descripción técnica de la base de datos;

e) Protección de datos personales y ejercicio de derechos;

f) Destino de los datos y personas fí­sicas o jurí­dicas a las que pueden ser transmitidos;

g) Tiempo de conservación de los datos;

h) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

i) Cantidad de acreedores personas fí­sicas que hayan cumplido los 5 años previstos en el art. 22 de la presente ley.

j) Cantidad de cancelaciones por incumplimiento de la obligación de pago si correspondiera, de acuerdo a lo previsto en el artí­culo 22 de la presente ley.

29.3. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en la presente ley.

29.4. Respecto a las bases de datos de carácter comercial ya inscriptos en el Órgano Regulador, se estará a lo previsto en la presente ley respecto del plazo de adecuación.

Artí­culo 30.- Prestación de servicios informatizados de datos personales.

30.1. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

30.2. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquél por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un perí­odo de hasta dos años.
CAPíTULO VII – ÓRGANO DE CONTROL

Artí­culo 31.- Órgano de Control.

31.1. Créase como órgano desconcentrado de la Agencia para el Desarrollo del Gobierno Electrónico y Sociedad de la Información (AGESIC), dotado de la más amplia autonomí­a técnica, la Unidad Reguladora y de Control de Datos Personales.

31.2. La Unidad Reguladora y de Control de Datos Personales estará dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de la AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que, por sus antecedentes personales, profesionales y conocimiento en la materia, aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en su desempeño.

Durarán tres años en el ejercicio de sus cargos, pudiendo ser designados nuevamente, y permaneciendo en ellos hasta que sean nombrados quienes hayan de sustituirlos.

31.3. La presidencia del Consejo será rotativa anualmente entre los dos miembros designados por el Poder Ejecutivo para dicho órgano y tendrá a su cargo la representación del mismo y la ejecución de las actividades necesarias para el cumplimiento de sus resoluciones.

Artí­culo 32.- Cometidos.

El órgano de control deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:
a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

c) Realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos;

d) Controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes.

e) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f) Emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta;

g) Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales.

h) Informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita.

Artí­culo 33.- Potestades sancionatorias.

El órgano de control podrá aplicar las siguientes medidas sancionatorias a los responsables de las bases de datos o encargados del tratamiento de datos personales en caso que se violen las normas de la presente ley:
1. Apercibimiento;

2. Multa de hasta quinientas mil unidades indexadas;

3. Clausura de la base de datos respectiva. A tal efecto se faculta a la AGESIC a promover ante los órganos jurisdiccionales competentes, la clausura, hasta por un lapso de seis dí­as hábiles, de las personas fí­sicas o jurí­dicas que dispongan de bases de datos respecto de los cuales se comprobare que infringieren o transgredieren la presente ley.

Los hechos constitutivos de la infracción serán documentados de acuerdo a las formalidades legales y la clausura deberá decretarse dentro de los tres dí­as siguientes a aquél en que la hubiere solicitado la AGESIC, la cual quedará habilitada a disponer por sí­ la clausura si el Juez no se pronunciare dentro de dicho término.

En este último caso, si el Juez denegare posteriormente la clausura, ésta deberá levantarse de inmediato por la AGESIC.

Los recursos que se interpongan contra la resolución judicial que hiciere lugar a la clausura, no tendrán efecto suspensivo.

Para hacer cumplir dicha resolución, la AGESIC podrá requerir el auxilio de la fuerza pública.

La competencia de los Tribunales actuantes se determinará por las normas de la Ley Orgánica de la Judicatura, Nº 15.750, de 24 de junio de 1985, sus modificativas y concordantes.

Artí­culo 34.- Códigos de conducta.

34.1. Las asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada podrán elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personales que tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.

34.2. Dichos códigos deberán ser inscriptos en el registro que al efecto lleve el organismo de control, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.
CAPíTULO VIII – ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES

Artí­culo 35.- Habeas Data.

Toda persona tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en bases de datos públicos o privados; y -en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización- a exigir su rectificación, supresión o lo que entienda corresponder.

Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención a las circunstancias del caso.

Artí­culo 36.- Procedencia.

El titular de datos personales podrá entablar la acción de protección de datos personales o habeas data, contra todo responsable de una base de datos pública o privada, en los siguientes supuestos:

36.1. Cuando quiera conocer sus datos personales que se encuentran registrados en una base de datos o similar y dicha información le haya sido denegada, o no le hubiese sido proporcionada por el responsable de la base de datos, en las oportunidades y plazos previstos por la ley; o

36.2. Cuando haya solicitado al responsable de la base de datos o tratamiento su rectificación, actualización, eliminación o supresión y éste no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al efecto en la ley.

Artí­culo 37.- Legitimación.

La acción de habeas data podrá ser ejercida por el propio afectado titular de los datos o sus representantes, ya sean tutores o curadores y, en caso de personas fallecidas, por sus sucesores universales, en lí­nea directa o colateral hasta el segundo grado, por sí­ o por medio de apoderado.

En el caso de personas jurí­dicas, la acción deberá ser interpuesta por sus representantes legales o los apoderados designados a tales efectos.

Artí­culo 38.- Procedimiento.

Las acciones que se promuevan por violación a los derechos contemplados en la presente ley se regirán en lo general por las normas del Código General del Proceso y en particular por las previstas en los artí­culos que siguen al presente, teniendo las normas procesales vigentes el carácter de supletorias en los casos de oscuridad o insuficiencias de éstas.

Artí­culo 39.- Trámite de primera instancia.

39.1. Salvo que la acción fuera manifiestamente improcedente, en cuyo caso el Tribunal la rechazará sin sustanciarla y dispondrá el archivo de las actuaciones, se convocará a las partes a una audiencia pública dentro del plazo de tres dí­as de la fecha de la presentación de la demanda.

39.2. En dicha audiencia se oirán las explicaciones del demandado, se recibirán las pruebas y se producirán los alegatos. El Tribunal, que podrá rechazar las pruebas manifiestamente impertinentes o innecesarias, presidirá la audiencia so pena de nulidad, e interrogará a los testigos y a las partes, sin perjuicio de que aquéllos sean, a su vez, repreguntados por los abogados. Gozará de los más amplios poderes de policí­a y de dirección de la audiencia.

39.3. En cualquier momento podrá ordenar diligencias para mejor proveer.

39.4. La sentencia se dictará en la audiencia o a más tardar, dentro de las veinticuatro horas de su celebración. Sólo en casos excepcionales podrá prorrogarse la audiencia por hasta tres dí­as.

39.5. Las notificaciones podrán realizarse por intermedio de la autoridad policial. A los efectos del cómputo de los plazos de cumplimiento de lo ordenado por la sentencia, se dejará constancia de la hora en que se efectuó la notificación.

Artí­culo 40.- Medidas provisionales.

Si de la demanda o en cualquier otro momento del proceso resultare, a juicio del Tribunal, la necesidad de su inmediata actuación, éste dispondrá, con carácter provisional, las medidas que correspondieren en amparo del derecho o libertad presuntamente violados.

Artí­culo 41.- Contenido de la sentencia.

La sentencia que haga lugar al habeas data deberá contener:
a) La identificación concreta de la autoridad o el particular a quien se dirija y contra cuya acción, hecho u omisión se conceda el habeas data.

b) La determinación precisa de lo que deba o no deba hacerse y el plazo por el cual dicha resolución regirá, si es que corresponde fijarlo.

c) El plazo para el cumplimiento de lo dispuesto, que será fijado por el Tribunal conforme las circunstancias de cada caso, y no será mayor de 15 dí­as corridos e ininterrumpidos, computados a partir de la notificación.

Artí­culo 42.- Recurso de apelación y segunda instancia.

42.1. En el proceso de habeas data sólo serán apelables la sentencia definitiva y la que rechaza la acción por ser manifiestamente improcedente.

42.2. El recurso de apelación deberá interponerse en escrito fundado, dentro del plazo perentorio de tres dí­as. El Tribunal elevará sin más trámite los autos al superior cuando hubiere desestimado la acción por improcedencia manifiesta, y lo sustanciará con un traslado a la contraparte, por tres dí­as perentorios, cuando la sentencia apelada fuese la definitiva.

42.3. El Tribunal de Alzada resolverá en acuerdo, dentro de los cuatro dí­as siguientes a la recepción de los autos. La interposición del recurso no suspenderá las medidas de amparo decretadas, las cuales serán cumplidas inmediatamente después de notificada la sentencia, sin necesidad de tener que esperar el transcurso del plazo para su impugnación.

Artí­culo 43.- Sumariedad. Otros aspectos.

43.1. En los procesos de habeas data no podrán deducirse cuestiones previas, reconvenciones ni incidentes. El Tribunal, a petición de parte o de oficio, subsanará los vicios de procedimiento, asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio de contradictorio.

43.2. Cuando se planteare la inconstitucionalidad por ví­a de excepción o de oficio (arts. 509 num. 2º y 510 num. 2º del Código General del Proceso) se procederá a la suspensión del procedimiento sólo después que el Magistrado actuante haya dispuesto la adopción de las medidas provisorias referidas en la presente ley o, en su caso, dejando constancia circunstanciada de las razones de considerarlas innecesarias.
CAPíTULO IX – DISPOSICIONES TRANSITORIAS

Artí­culo 44.- Adecuación de las bases de datos. Las bases de datos, deberán adecuarse a la presente ley dentro del plazo de un año de su entrada en vigor.

Artí­culo 45.- Traslado del órgano de control referente a datos comerciales.

Se establece el plazo de treinta dí­as corridos para que el actual órgano de control en materia de protección de datos comerciales, a cargo del Ministerio de Economí­a y Finanzas realice el traslado de la información y documentación a la AGESIC.

Artí­culo 46.- Derogación.

Se deroga la Ley Nº 17.838, de 24 de setiembre de 2004.

Artí­culo 47.- Reglamentación.

El Poder Ejecutivo deberá reglamentar la presente ley dentro de los ciento ochenta dí­as de su promulgación.
Montevideo, 16 de setiembre de 2007.
RICARDO BERNAL
BELELA HERRERA
DANILO ASTORI
AZUCENA BERRUTI
JORGE BROVETTO
VíCTOR ROSSI
JORGE LEPRA
EDUARDO BONOMI
MARíA J. MUÑOZ
JOSí‰ MUJICA
Hí‰CTOR LESCANO
MARIANO ARANA
MARINA ARISMENDI

CíMARA DE SENADORES

La Cámara de Senadores en sesión de hoy ha aprobado el siguiente
PROYECTO DE LEY
CAPíTULO I -“ DISPOSICIONES GENERALES

Artí­culo 1º (Derecho Humano).- El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artí­culo 72 de la Constitución de la República.

Artí­culo 2º (ímbito subjetivo).- El derecho a la protección de los datos personales se aplicará por extensión a las personas jurí­dicas, en cuanto corresponda.

Artí­culo 3º (ímbito objetivo).- El régimen de la presente ley será de aplicación a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado.

No será de aplicación a las siguientes bases de datos:
a) a las mantenidas por personas fí­sicas en el ejercicio de actividades exclusivamente personales o domésticas;

b) las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito;

c) a las bases de datos creadas y reguladas por leyes especiales.

Artí­culo 4º (Definiciones).- A los efectos de la presente ley se entiende por:
a) base de datos: indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso;

b) comunicación de datos: toda revelación de datos realizada a una persona distinta del titular de los datos;

c) consentimiento del titular: toda manifestación de voluntad, libre, inequí­voca, especí­fica e informada, mediante la cual el titular consienta el tratamiento de datos personales que le concierne;

d) dato personal: información de cualquier tipo referida a personas fí­sicas o jurí­dicas determinadas o determinables;

e) dato sensible: datos personales que revelen origen racial y étnico, preferencias polí­ticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual;

f) destinatario: persona fí­sica o jurí­dica, pública o privada, que recibiere comunicación de datos, se trate o no de un tercero;

g) disociación de datos: todo tratamiento de datos personales de manera que la información obtenida no pueda vincularse a persona determinada o determinable;

h) encargado del tratamiento: persona fí­sica o jurí­dica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento;

i) fuentes accesibles al público: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación;

j) tercero: la persona fí­sica o jurí­dica, pública o privada, distinta del titular del dato, del responsable de la base de datos o tratamiento, del encargado y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento;

k) responsable de la base de datos o del tratamiento: persona fí­sica o jurí­dica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento;

l) titular de los datos: persona cuyos datos sean objeto de un tratamiento incluido dentro del ámbito de acción de la presente ley;

m) tratamiento de datos: operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales, así­ como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias;

n) usuario de datos: toda persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en una base de datos propia o a través de conexión con los mismos.
CAPíTULO II -“ PRINCIPIOS GENERALES

Artí­culo 5º (Valor y fuerza).- La actuación de los responsables de las bases de datos, tanto públicos como privados, y, en general, de todos quienes actúen en relación a datos personales de terceros, deberá ajustarse a los siguientes principios generales:
a) legalidad,

b) veracidad,

c) finalidad,

d) previo consentimiento informado,

e) seguridad de los datos,

f) reserva,

g) responsabilidad.

Dichos principios generales servirán también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de las disposiciones pertinentes.

Artí­culo 6º (Principio de legalidad).- La formación de bases de datos será lí­cita cuando se encuentren debidamente inscriptas, observando en su operación los principios que establecen la presente ley y las reglamentaciones que se dicten en consecuencia.

Las bases de datos no pueden tener finalidades violatorias de derechos humanos o contrarias a las leyes o a la moral pública.

Artí­culo 7º (Principio de veracidad).- Los datos personales que se recogieren a los efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la cual se hubieren obtenido. La recolección de datos no podrá hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a las disposiciones a la presente ley.

Los datos deberán ser exactos y actualizarse en el caso en que ello fuere necesario.

Cuando se constate la inexactitud o falsedad de los datos, el responsable del tratamiento, en cuanto tenga conocimiento de dichas circunstancias, deberá suprimirlos, sustituirlos o completarlos por datos exactos, veraces y actualizados. Asimismo, deberán ser eliminados aquellos datos que hayan caducado de acuerdo a lo previsto en la presente ley.

Artí­culo 8º (Principio de finalidad).- Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados.

La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadí­sticos o cientí­ficos, y de acuerdo con la legislación especí­fica, se conserven datos personales aun cuando haya perimido tal necesidad o pertinencia.

Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular.

Artí­culo 9º (Principio del previo consentimiento informado).- El tratamiento de datos personales es lí­cito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse.

El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artí­culo 12 de la presente ley.

No será necesario el previo consentimiento cuando:
a) los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación;

b) se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;

c) se trate de listados cuyos datos se limiten en el caso de personas fí­sicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurí­dicas, razón social, nombre de fantasí­a, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma;

d) deriven de una relación contractual, cientí­fica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento;

e) se realice por personas fí­sicas o jurí­dicas, privadas o públicas, para su uso exclusivo personal o doméstico.

Artí­culo 10 (Principio de seguridad de los datos).- El responsable o usuario de la base de datos debe adoptar las medidas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales. Dichas medidas tendrán por objeto evitar su adulteración, pérdida, consulta o tratamiento no autorizado, así­ como detectar desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Los datos deberán ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.

Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.

Artí­culo 11 (Principio de reserva).- Aquellas personas fí­sicas o jurí­dicas que obtuvieren legí­timamente información proveniente de una base de datos que les brinde tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.

Las personas que, por su situación laboral u otra forma de relación con el responsable de una base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artí­culo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. Lo previsto no será de aplicación en los casos de orden de la Justicia competente, de acuerdo con las normas vigentes en esta materia o si mediare consentimiento del titular.

Esta obligación subsistirá aun después de finalizada la relación con el responsable de la base de datos.

Artí­culo 12 (Principio de responsabilidad).- El responsable de la base de datos es responsable de la violación de las disposiciones de la presente ley.
CAPíTULO III -“ DERECHOS DE LOS TITULARES DE LOS DATOS

Artí­culo 13 (Derecho de información frente a la recolección de datos).- Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequí­voca:
a) la finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;

b) la existencia de la base de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;

c) el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles;

d) las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud;

e) la posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos.

Artí­culo 14 (Derecho de acceso).- Todo titular de datos personales que previamente acredite su identificación con el documento de identidad o poder respectivo, tendrá derecho a obtener toda la información que sobre sí­ mismo se halle en bases de datos públicas o privadas. Este derecho de acceso sólo podrá ser ejercido en forma gratuita a intervalos de seis meses, salvo que se hubiere suscitado nuevamente un interés legí­timo de acuerdo con el ordenamiento jurí­dico.

Cuando se trate de datos de personas fallecidas, el ejercicio del derecho al cual refiere este artí­culo, corresponderá a cualesquiera de sus sucesores universales, cuyo carácter se acreditará por la sentencia de declaratoria de herederos.

La información debe ser proporcionada dentro de los cinco dí­as hábiles de haber sido solicitada. Vencido el plazo sin que el pedido sea satisfecho o si fuera denegado por razones no justificadas de acuerdo con esta ley, quedará habilitada la acción de habeas data.

La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

Artí­culo 15 (Derecho de rectificación, actualización, inclusión o supresión).- Toda persona fí­sica o jurí­dica tendrá derecho a solicitar la rectificación, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en una base de datos, al constatarse error o falsedad o exclusión en la información de la que es titular.

El responsable de la base de datos o del tratamiento deberá proceder a realizar la rectificación, actualización, inclusión o supresión, mediante las operaciones necesarias a tal fin en un plazo máximo de cinco dí­as hábiles de recibida la solicitud por el titular del dato o, en su caso, informar de las razones por las que estime no corresponde.

El incumplimiento de esta obligación por parte del responsable de la base de datos o del tratamiento o el vencimiento del plazo, habilitará al titular del dato a promover la acción de habeas data prevista en esta ley.

No procede la eliminación o supresión de datos personales salvo en aquellos casos de:
a) perjuicios a los derechos e intereses legí­timos de terceros;

b) notorio error o falsedad;

c) contravención a lo establecido por una obligación legal.

Durante el proceso de verificación, rectificación o inclusión de datos personales, el responsable de la base de datos o tratamiento, ante el requerimiento de terceros por acceder a informes sobre los mismos, deberá dejar constancia que dicha información se encuentra sometida a revisión.

En el supuesto de comunicación o transferencia de datos, el responsable de la base de datos o del tratamiento debe notificar la rectificación, inclusión o supresión al destinatario dentro del quinto dí­a hábil de efectuado el tratamiento del dato.

La rectificación, actualización, inclusión, eliminación o supresión de datos personales cuando corresponda, se efectuará sin cargo alguno para el titular.

Artí­culo 16 (Derecho a la impugnación de valoraciones personales).- Las personas tienen derecho a no verse sometidas a una decisión con efectos jurí­dicos que les afecte de manera significativa, que se base en un tratamiento automatizado o no de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, entre otros.

El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos personales que ofrezca una definición de sus caracterí­sticas o personalidad.

En este caso, el afectado tendrá derecho a obtener información del responsable de la base de datos tanto sobre los criterios de valoración como sobre el programa utilizado en el tratamiento que sirvió para adoptar la decisión manifestada en el acto.

La valoración sobre el comportamiento de las personas, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Artí­culo 17 (Derechos referentes a la comunicación de datos).- Los datos personales objeto de tratamiento sólo podrán ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legí­timo del emisor y del destinatario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la comunicación e identificar al destinatario o los elementos que permitan hacerlo.

El previo consentimiento para la comunicación es revocable.

El previo consentimiento no será necesario cuando:
a) así­ lo disponga una ley de interés general;

b) en los supuestos del artí­culo 9º de la presente ley;

c) se trate de datos personales relativos a la salud y sea necesario por razones de salud e higiene públicas, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;

d) se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos no sean identificables.

El destinatario quedará sujeto a las mismas obligaciones legales y reglamentarias del emisor y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
CAPíTULO IV -“ DATOS ESPECIALMENTE PROTEGIDOS

Artí­culo 18 (Datos sensibles).- Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular.

Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadí­sticas o cientí­ficas cuando se disocien de sus titulares.

Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. Se exceptúan aquellos que posean los partidos polí­ticos, sindicatos, iglesias, confesiones religiosas, asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea polí­tica, religiosa, filosófica, sindical, que hagan referencia al origen racial o étnico, a la salud y a la vida sexual, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio que la comunicación de dichos datos precisará siempre el previo consentimiento del titular del dato.

Los datos personales relativos a la comisión de infracciones penales, civiles o administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas, sin perjuicio de las autorizaciones que la ley otorga u otorgare. Nada de lo establecido en esta ley impedirá a las autoridades públicas comunicar o hacer pública la identidad de las personas fí­sicas o jurí­dicas que estén siendo investigadas por, o hayan cometido, infracciones a la normativa vigente, en los casos en que otras normas lo impongan o en los que lo consideren conveniente.

Artí­culo 19 (Datos relativos a la salud).- Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud fí­sica o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa especí­fica y lo establecido en la presente ley.

Artí­culo 20 (Datos relativos a las telecomunicaciones).- Los operadores que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos personales conforme a la presente ley.

Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar sus niveles de protección de los datos personales que sean exigidos por la normativa de desarrollo de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.

La regulación contenida en esta ley se entiende sin perjuicio de lo previsto en la normativa especí­fica sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional.

Artí­culo 21 (Datos relativos a bases de datos con fines de publicidad).- En la recopilación de domicilios, reparto de documentos, publicidad, venta u otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de los bancos de datos a los que se refiere el presente artí­culo.

Artí­culo 22 (Datos relativos a la actividad comercial o crediticia).- Queda expresamente autorizado el tratamiento de datos personales destinados a brindar informes objetivos de carácter comercial, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor o en las circunstancias previstas en la presente ley. Para el caso de las personas jurí­dicas, además de las circunstancias previstas en la presente ley, se permite el tratamiento de toda información autorizada por la normativa vigente.

Los datos personales relativos a obligaciones de carácter comercial de personas fí­sicas sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá solicitar al responsable de la base de datos, por única vez, su nuevo registro por otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de treinta dí­as anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción.

Los responsables de las bases de datos se limitarán a realizar el tratamiento objetivo de la información registrada tal cual ésta le fuera suministrada, debiendo abstenerse de efectuar valoraciones subjetivas sobre la misma.

Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de cinco dí­as hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos o tratamiento correspondiente. Una vez recibida la comunicación por el responsable de la base de datos o tratamiento, éste dispondrá de un plazo máximo de tres dí­as hábiles para proceder a la actualización del dato, asentando su nueva situación.

Artí­culo 23 (Datos transferidos internacionalmente).- Se prohí­be la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

La prohibición no regirá cuando se trate de:
1. cooperación judicial internacional, de acuerdo al respectivo instrumento internacional, ya sea Tratado o Convención, atendidas las circunstancias del caso;

2. intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del afectado por razones de salud o higiene públicas;

3. transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

4. acuerdos en el marco de tratados internacionales en los cuales la República Oriental del Uruguay sea parte;

5. cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

También será posible realizar la transferencia internacional de datos en los siguientes supuestos:
a) que el interesado haya dado su consentimiento inequí­vocamente a la transferencia prevista;

b) que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado;

c) que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero;

d) que la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial;

e) que la transferencia sea necesaria para la salvaguardia del interés vital del interesado;

f) que la transferencia tenga lugar desde un registro que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legí­timo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para su consulta.

Sin perjuicio de lo dispuesto en el primer inciso de este artí­culo, la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer paí­s que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantí­as suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así­ como respecto al ejercicio de los respectivos derechos.

Dichas garantí­as podrán derivarse de cláusulas contractuales apropiadas.
CAPíTULO V -“ BASES DE DATOS DE TITULARIDAD PíšBLICA

Artí­culo 24 (Creación, modificación o supresión).- La creación, modificación o supresión de bases de datos pertenecientes a organismos públicos deberán registrarse conforme lo previsto en el capí­tulo siguiente.

Artí­culo 25 (Base de datos correspondientes a las Fuerzas Armadas, Organismos Policiales o de Inteligencia).- Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en las bases de datos de las fuerzas armadas, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichas bases de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales o inteligencia, sin previo consentimiento de los titulares, queda limitado a aquellos supuestos y categorí­a de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser especí­ficas y establecidas al efecto, debiendo clasificarse por categorí­as, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Artí­culo 26 (Excepciones a los derechos de acceso, rectificación y cancelación).- Los responsables de las bases de datos que contengan los datos a que se refieren los incisos segundo y tercero del artí­culo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

Los responsables de las bases de datos de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el inciso anterior cuando el mismo obstaculice las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el titular del dato esté siendo objeto de actuaciones inspectivas.

El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos mencionados en los incisos anteriores podrá ponerlo en conocimiento del Órgano de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artí­culo 27 (Excepciones al derecho a la información).- Lo dispuesto en la presente ley no será aplicable a la recolección de datos, cuando la información del titular afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales.
CAPíTULO VI -“ BASES DE DATOS DE TITULARIDAD PRIVADA

Artí­culo 28 (Creación, modificación o supresión).- Las personas fí­sicas o jurí­dicas privadas que creen, modifiquen o supriman bases de datos de carácter personal, que no sean para un uso exclusivamente individual o doméstico, deberán registrarse conforme lo previsto en el artí­culo siguiente.

Artí­culo 29 (Inscripción registral).- Toda base de datos pública o privada debe inscribirse en el Registro que al efecto habilite el Órgano de Control, de acuerdo a los criterios reglamentarios que se establezcan.

Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que deberá contener la inscripción, entre los cuales figurarán necesariamente los siguientes:
a) identificación de la base de datos y el responsable de la misma;

b) naturaleza de los datos personales que contiene;

c) procedimientos de obtención y tratamiento de los datos;

d) medidas de seguridad y descripción técnica de la base de datos;

e) protección de datos personales y ejercicio de derechos;

f) destino de los datos y personas fí­sicas o jurí­dicas a las que pueden ser transmitidos;

g) tiempo de conservación de los datos;

h) forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos;

i) cantidad de acreedores personas fí­sicas que hayan cumplido los 5 años previstos en el artí­culo 22 de la presente ley;

j) cantidad de cancelaciones por incumplimiento de la obligación de pago si correspondiera, de acuerdo a lo previsto en el artí­culo 22 de la presente ley.

Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en la presente ley.

Respecto a las bases de datos de carácter comercial ya inscriptos en el Órgano Regulador, se estará a lo previsto en la presente ley respecto del plazo de adecuación.

Artí­culo 30 (Prestación de servicios informatizados de datos personales).- Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un perí­odo de hasta dos años.
CAPíTULO VII -“ ÓRGANO DE CONTROL

Artí­culo 31 (Órgano de Control).- Créase como órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), dotado de la más amplia autonomí­a técnica, la Unidad Reguladora y de Control de Datos Personales. Estará dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

A excepción del Director Ejecutivo de la AGESIC, los miembros durarán cuatro años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción dispuesta por el Poder Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las garantí­as del debido proceso.

Durante su mandato no recibirán órdenes ni instrucciones en el plano técnico.

Artí­culo 32 (Consejo Consultivo).- El Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales funcionará asistido por un Consejo Consultivo, que estará integrado por 5 miembros:
- una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo, el que no podrá ser un Legislador en actividad;

- un representante del Poder Judicial;

- un representante del Ministerio Público;

- un representante del área académica;

- un representante del sector privado, que se elegirá en la forma establecida reglamentariamente.

Sesionará presidido por el Presidente de la Unidad Reguladora y de Control de protección de Datos Personales.

Sus integrantes durarán 4 años en sus cargos y sesionarán a convocatoria del Presidente de la Unidad Reguladora y de Control de Datos Personales o de la mayorí­a de sus miembros.

Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de su competencia y deberá ser consultado por éste cuando ejerza potestades de reglamentación.

Artí­culo 33 (Recursos).- La Unidad Reguladora y de Control de Datos Personales formulará su propuesta de presupuesto, la cual será puesta a consideración del Poder Ejecutivo.

Artí­culo 34 (Cometidos).- El órgano de control deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:
a) asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

b) dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

c) realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos;

d) controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes;

e) solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f) emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta;

g) asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales;

h) informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita.

Artí­culo 35 (Potestades sancionatorias).- El órgano de control podrá aplicar las siguientes medidas sancionatorias a los responsables de las bases de datos o encargados del tratamiento de datos personales en caso que se violen las normas de la presente ley:
1. apercibimiento;

2. multa de hasta quinientas mil unidades indexadas;

3. suspensión de la base de datos respectiva. A tal efecto se faculta a la AGESIC a promover ante los órganos jurisdiccionales competentes, la suspensión de las bases de datos, hasta por un lapso de seis dí­as hábiles, respecto de los cuales se comprobare que infringieren o transgredieren la presente ley.

Los hechos constitutivos de la infracción serán documentados de acuerdo a las formalidades legales y la suspensión deberá decretarse dentro de los tres dí­as siguientes a aquel en que la hubiere solicitado la AGESIC, la cual quedará habilitada a disponer por sí­ la suspensión si el Juez no se pronunciare dentro de dicho término.

En este último caso, si el Juez denegare posteriormente la suspensión, ésta deberá levantarse de inmediato por la AGESIC.

Los recursos que se interpongan contra la resolución judicial que hiciere lugar a la suspensión, no tendrán efecto suspensivo.

Para hacer cumplir dicha resolución, la AGESIC podrá requerir el auxilio de la fuerza pública.

La competencia de los Tribunales actuantes se determinará por las normas de la Ley Orgánica de la Judicatura, Nº 15.750, de 24 de junio de 1985, sus modificativas y concordantes.

Artí­culo 36 (Códigos de conducta).- Las asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada podrán elaborar códigos de conducta de práctica profesional, que establezcan normas para el tratamiento de datos personales que tiendan a asegurar y mejorar las condiciones de operación de los sistemas de información en función de los principios establecidos en la presente ley.

Dichos códigos deberán ser inscriptos en el registro que al efecto lleve el organismo de control, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.
CAPíTULO VIII -“ ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES

Artí­culo 37 (Habeas Data).- Toda persona tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en bases de datos públicos o privados; y -en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización- a exigir su rectificación, inclusión, supresión o lo que entienda corresponder.

Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención a las circunstancias del caso.

Artí­culo 38 (Procedencia y competencia).- El titular de datos personales podrá entablar la acción de protección de datos personales o habeas data, contra todo responsable de una base de datos pública o privada, en los siguientes supuestos:
a) cuando quiera conocer sus datos personales que se encuentran registrados en una base de datos o similar y dicha información le haya sido denegada, o no le hubiese sido proporcionada por el responsable de la base de datos, en las oportunidades y plazos previstos por la ley;

b) cuando haya solicitado al responsable de la base de datos o tratamiento su rectificación, actualización, eliminación, inclusión o supresión y éste no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al efecto en la ley.

Serán competentes para conocer en las acciones de protección de datos personales o habeas data:
1. en la Capital, los Juzgados Letrados de Primera Instancia en lo Contencioso Administrativo, cuando la acción se dirija contra una persona pública estatal, y los Juzgados Letrados de Primera Instancia en lo Civil en los restantes casos;

2. los Juzgados Letrados de Primera Instancia del Interior a quienes se haya asignado competencia en dichas materias.

Artí­culo 39 (Legitimación).- La acción de habeas data podrá ser ejercida por el propio afectado titular de los datos o sus representantes, ya sean tutores o curadores y, en caso de personas fallecidas, por sus sucesores universales, en lí­nea directa o colateral hasta el segundo grado, por sí­ o por medio de apoderado.

En el caso de personas jurí­dicas, la acción deberá ser interpuesta por sus representantes legales o los apoderados designados a tales efectos.

Artí­culo 40 (Procedimiento).- Las acciones que se promuevan por violación a los derechos contemplados en la presente ley se regirán por las normas contenidas en los artí­culos que siguen al presente. Serán aplicables en lo pertinente los artí­culos 14 y 15 del Código General del Proceso.

Artí­culo 41 (Trámite de primera instancia).- Salvo que la acción fuera manifiestamente improcedente, en cuyo caso el tribunal la rechazará sin sustanciarla y dispondrá el archivo de las actuaciones, se convocará a las partes a una audiencia pública dentro del plazo de tres dí­as de la fecha de la presentación de la demanda.

En dicha audiencia se oirán las explicaciones del demandado, se recibirán las pruebas y se producirán los alegatos. El tribunal, que podrá rechazar las pruebas manifiestamente impertinentes o innecesarias, presidirá la audiencia so pena de nulidad, e interrogará a los testigos y a las partes, sin perjuicio de que aquéllos sean, a su vez, repreguntados por los abogados. Gozará de los más amplios poderes de policí­a y de dirección de la audiencia.

En cualquier momento podrá ordenar diligencias para mejor proveer.

La sentencia se dictará en la audiencia o a más tardar, dentro de las veinticuatro horas de su celebración. Sólo en casos excepcionales podrá prorrogarse la audiencia por hasta tres dí­as.

Las notificaciones podrán realizarse por intermedio de la autoridad policial. A los efectos del cómputo de los plazos de cumplimiento de lo ordenado por la sentencia, se dejará constancia de la hora en que se efectuó la notificación.

Artí­culo 42 (Medidas provisionales).- Si de la demanda o en cualquier otro momento del proceso resultare, a juicio del tribunal, la necesidad de su inmediata actuación, éste dispondrá, con carácter provisional, las medidas que correspondieren en amparo del derecho o libertad presuntamente violados.

Artí­culo 43 (Contenido de la sentencia).- La sentencia que haga lugar al habeas data deberá contener:
a) la identificación concreta de la autoridad o el particular a quien se dirija y contra cuya acción, hecho u omisión se conceda el habeas data;

b) la determinación precisa de lo que deba o no deba hacerse y el plazo por el cual dicha resolución regirá, si es que corresponde fijarlo;

c) el plazo para el cumplimiento de lo dispuesto, que será fijado por el tribunal conforme las circunstancias de cada caso, y no será mayor de quince dí­as corridos e ininterrumpidos, computados a partir de la notificación.

Artí­culo 44 (Recurso de apelación y segunda instancia).- En el proceso de habeas data sólo serán apelables la sentencia definitiva y la que rechaza la acción por ser manifiestamente improcedente.

El recurso de apelación deberá interponerse en escrito fundado, dentro del plazo perentorio de tres dí­as. El tribunal elevará sin más trámite los autos al superior cuando hubiere desestimado la acción por improcedencia manifiesta, y lo sustanciará con un traslado a la contraparte, por tres dí­as perentorios, cuando la sentencia apelada fuese la definitiva.

El tribunal de alzada resolverá en acuerdo, dentro de los cuatro dí­as siguientes a la recepción de los autos. La interposición del recurso no suspenderá las medidas de amparo decretadas, las cuales serán cumplidas inmediatamente después de notificada la sentencia, sin necesidad de tener que esperar el transcurso del plazo para su impugnación.

Artí­culo 45 (Sumariedad. Otros aspectos).- En los procesos de habeas data no podrán deducirse cuestiones previas, reconvenciones ni incidentes. El tribunal, a petición de parte o de oficio, subsanará los vicios de procedimiento, asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio de contradictorio.

Cuando se planteare la inconstitucionalidad por ví­a de excepción o de oficio (artí­culos 509 numeral 2 y 510 numeral 2 del Código General del Proceso) se procederá a la suspensión del procedimiento sólo después que el Magistrado actuante haya dispuesto la adopción de las medidas provisorias referidas en la presente ley o, en su caso, dejando constancia circunstanciada de las razones de considerarlas innecesarias.
CAPíTULO IX – DISPOSICIONES TRANSITORIAS

Artí­culo 46 (Adecuación de las bases de datos).- Las bases de datos deberán adecuarse a la presente ley dentro del plazo de un año de su entrada en vigor.

Artí­culo 47 (Traslado del órgano de control referente a datos comerciales).- Se establece el plazo de ciento veinte dí­as corridos para que el actual órgano de control en materia de protección de datos comerciales, a cargo del Ministerio de Economí­a y Finanzas, realice el traslado de la información y documentación a la AGESIC.

Artí­culo 48 (Derogación).- Se deroga la Ley Nº 17.838, de 24 de setiembre de 2004.

Artí­culo 49 (Reglamentación).- El Poder Ejecutivo deberá reglamentar la presente ley dentro de los ciento ochenta dí­as de su promulgación.

Sala de Sesiones de la Cámara de Senadores, en Montevideo, a 15 de abril de 2008.

HUGO RODRíGUEZ FILIPPINI
Secretario JOSí‰ MUJICA
Presidente
Lí­nea del pie de página
Montevideo, Uruguay. Poder Legislativo.


Comments are closed.