Habeas Data – Datos Personales – Privacidad

Costa Rica tiene nueva ley de protección de datos personales

Posted: septiembre 7th, 2011 | Author: | Filed under: América central, América Latina, Costa Rica, Habeas Data | Comentarios desactivados

Con esta ley aprobada y publicada por el Poder Ejecutivo de Costa Rica el 7 de septiembre de 2011, gerontologist Costa Rica se suma a numerosos países en América Latina que han aprobado leyes de protección de datos personales. Primero fue Chile en 1999, ascariasis luego  en el año 2.000 Argentina aprobó la ley 25.326 de protección de datos personales; luego Uruguay, allergy en el año 2008 con una ley que fue aprobada por la UEColombia, en diciembre de 2010, y México el mismo año se sumaron al club de protección de datos. Finalmente recientemente se aprobó la Ley de protección de datos de Peru en julio de 2011. Ahora con Costa Rica son 7 los países que poseen leyes de protección de datos personales en la región. A continuación encontrarán el texto legal… en breve un comentario…

 

TEXTO DE LA NORMA

Protección de la Persona frente al tratamiento de sus datos personales

 

Read the rest of this entry »


What is habeas data?

Posted: junio 11th, 2011 | Author: | Filed under: América central, América del norte, América Latina, Habeas Data, Habeas Data colectivo, Internacional, Law | Tags: | Comentarios desactivados

Habeas data is the first step taken in Latin America to regulate data protection issues. It all started with the inclusion into national constitutions that in the eighties started to create an habeas data remedy. The right of habeas data basically comprises two main rights: right of access and correction of personal data.

The right is defined usually as a judicial action. This remedy is known in Latin America as “habeas data” (usually located next to it cousins: habeas corpus or the writ of amparo). It provides a judicial action to protect constitutional rights, medicine and, cheapest in the case of databases, to access and rectify inaccurate information.

 

However, it also started to be viewed as a right to privacy over personal data, thus introducing as a fundamental right more than a judicial action: right to control the personal information of the data subject or a right to informational self determination. Several supreme courts of Latin America reached this conclusion in interpreting this right of habeas data. In reaching these conclusions they also framed the right within its boundaries.

 

With the trend to legislate data protection laws, these statutes started to regulate also the procedure to sue private or state entities for data protection right. So this habeas data action is clearly regulated in some sections of the data protection acts in Latin America. This also expanded the scope of the habeas data cause of action: not only provides a remedy to a denial of the right of access and correction but also to challenge in court any other infringement of data protection rights and any other situation related with privacy rights (e.g. spam, credit reporting, identity theft, etc.).

 

The data protection statutes in Latin America usually provides a specific judicial remedy to access and rectify personal information and then define the standing to sue and be sued under habeas data, the terms to file a complaint and to answer it, the decision of the court, etc.

 

With the more recent trend to mix consumer protection rights with data protection rights, some countries started to regulate collective or class action rights between habeas data.

 

 

 

More information:

www.habeasdata.org

http://es.wikipedia.org/wiki/Habeas_data

http://en.wikipedia.org/wiki/Habeas_data

Pablo Palazzi

 


Habeas data y protección de datos en Costa Rica

Posted: septiembre 27th, 2010 | Author: | Filed under: América central, Costa Rica, Habeas Data, Informes comerciales, Proyecto de Ley | Comentarios desactivados

Lic. Wendy Singer Plá
¿Cual es la situación en Costa Rica respecto a la protección de datos personales? ¿Cuales son los primeros problemas que se perfilan?

Los primeros problemas que se perfilan en Costa Rica, this es sobre la recopilación y transmisión de datos de las protectoras de crédito. Pues su uso se ha vuelto muy común, viagra no solo ya para las entidades financieras, sino también por bufetes, servicios de recursos humanos, servicios de factoreo, etc.  No vamos a negar la importancia social y económica que tienen las protectoras de crédito para desplegar esta información (claro esta que no solo reportan su puntaje crediticio, sino también direcciones, números de teléfonos, antiguos trabajos y sus respectivos salarios, entre otros). Pues proteger el mercado es de interés para todos y más en una economía como la que estamos en este momento.

Sin embargo, que pasa cuando estas protectoras de crédito actúan a la libre?

Nuestra situación dista mucho de la de Argentina, México, Colombia donde ya cuentan con una ley de protección de datos, es decir un control a priori, que protege a los titulares de la información.

Read the rest of this entry »


New book about the legal regime of Credit Reporting in Latin America

Posted: noviembre 5th, 2007 | Author: | Filed under: Argentina, Informes comerciales, Panama | Comentarios desactivados

My new book about the legal regime of Credit Reporting in Latin America has just been published in Argentina. You can find more information about the book, condom including an index, cialis sale my introduction and the prologue from the Vicepresident of the Supreme Court of Argentina at this post.


California aprueba ley sobre privacidad en dispositivos wireless

Posted: octubre 6th, 2006 | Author: | Filed under: EEUU, Panama, Público en general, RFID | Comentarios desactivados

Los fabricantes de dispositivos wifi deberán informar a los consumidores las medidas para proteger la privacidad de la información en comunicaciones wireless a partir del primero de octubre de 2007.

Read the rest of this entry »


News about data protection in Latin America (July 2006)

Posted: julio 26th, 2006 | Author: | Filed under: América Latina, Panama, Robo de identidad | No Comments »

“News about data protection in Latin America”:http://www.dataprotectionlaws.com.ar/blog/

*First Semester – January-July 2006*
By “Pablo Palazzi”:http://www.habeasdata.org/pablopalazzi

*1) Citibank case*
The case arose when Citibank sent a letter to all their customers in Argentina informing them of its new privacy policy. The letter also provided a ten-day period to opt out from the sharing of the client’s personal information. A disgruntled client sued the bank seeking the confidentiality of his personal data. Judgement was rendered in his favour.

The court held that it was not sufficient for the bank to simply let customers opt out of having their personal data used for purposes other than those relating to their banking service. The Court of Appeals also shared the view exposed by the advocate general at the commercial court of appeals who held that the use of that personal information for marketing purposes amounted to an infringement of the purpose limitation principle of the data protection act (this is the first case enforcing this principle in Argentina).

“Copy of the decision in the Citibank case and some comments”:http://www.habeasdata.org/HabeasDataColectivo

*2) First Spam case in Argentina*
On April 7, 2006 a federal judge from the City of Buenos Aires (Argentina) issued the first decision in a spam case. Plaintiffs Gustavo Tanus and Pablo Palazzi sued a an spammer under the new data protection law of Argentina.
In their complaint the two plaintiffs argued that section 27 of the 2000 Argentine Data Protection Law gives them a right to opt out, which the spammer did not comply with when they asked to be removed from the database (They demanded that their email be deleted from the database).

In November 2003, the judge issued an injunction, declaring that during the process the defendant should refrain from sending plaintiffs additional e-mails. The injunction also forbids the transfer of the plaintiffs emails to third parties. His decision was based on the data protection law (section 1, 2, 5, 11 and 27).

This month the judge issued the final decision, ordering defendants to stop any treatment of personal data of the plaintiffs and delete their personal information. The decision asserted that the sending of spam infringed the plaintiff* ´s privacy and data protection rights.

The decision is now available at “this web site”:http://www.habeasdata.org/spam

In addition, in the year 2005 the DPA enacted a new Regulation related to sanctions and infringements. One of the specific conducts targeted by these Regulation consist in sending spam after the marketer has received an opt out request (see http://www.habeasdata.org/sanciones).

Last year, the DPA fined Telefonica Argentina SA with $ 45.000 fine (aprox. u$s 15.000) for failure to honour opt out request of marketing calls of their clients. See “Telefonica Resolution of the DPA”:http://www.jus.gov.ar/dnpdpnew/sanciones/S_005_2005_08_25.pdf

*3) New telemarketing rules for the City of Buenos Aires*

The City of Buenos Aires enacted a few weeks ago a law creating a do not call list for telemarketing in the City of Buenos Aires which is going to enforced by the consumer protection agency of the City. The City* ´s consumer protection agency shall be in charge also of administering the registry. The “law num. 2014″:http://www.habeasdata.org/Ley2014 was published in the Official Journal. A text of the Bill is available “here”:http://www.habeasdata.org/ProyectoRegistroNoLLameRabinovich.

See my “comments in Spanish”:http://www.habeasdata.org/Registro_No_Llame_CiudaddeBuenosAires.

“Pablo A. Palazzi”:http://www.habeasdata.org/pablopalazzi


The Right to Privacy – Warren & Brandeis

Posted: julio 4th, 2006 | Author: | Filed under: América del norte, General, Panama | No Comments »

*The Right to Privacy*
Warren and Brandeis

Harvard Law Review.
Vol. IV December 15, cystitis 1890 No. 5
THE RIGHT TO PRIVACY[*] .

“It could be done only on principles of private justice, page moral fitness, remedy and public convenience, which, when applied to a new subject, make common law without a precedent; much more when received and approved by usage.” -” Willes, J., in Millar v. Taylor, 4 Burr. 2303, 2312

That the individual shall have full protection in person and in property is a principle as old as the common law; but it has been found necessary from time to time to define anew the exact nature and extent of such protection. Political, social, and economic changes entail the recognition of new rights, and the common law, in its eternal youth, grows to meet the new demands of society. Thus, in very early times, the law gave a remedy only for physical interference with life and property, for trespasses vi et armis. Then the “right to life” served only to protect the subject from battery in its various forms; liberty meant freedom from actual restraint; and the right to property secured to the individual his lands and his cattle. Later, there came a recognition of man’s spiritual nature, of his feelings and his intellect. Gradually the scope of these legal rights broadened; and now the right to life has come to mean the right to enjoy life, — the right to be let alone; the right to liberty secures the exercise of extensive civil privileges; and the term “property” has grown to comprise every form of possession — intangible, as well as tangible.

Thus, with the recognition of the legal value of sensations, the protection against actual bodily injury was extended to prohibit mere attempts to do such injury; that is, the putting another in fear of such injury. From the action of battery grew that of assault.[1] Much later there came a qualified protection of the individual against offensive noises and odors, against dust and smoke, and excessive vibration. The law of nuisance was developed.[2] So regard for human emotions soon extended the scope of personal immunity beyond the body of the individual. His reputation, the standing among his fellow-men, was considered, and the law of slander and libel arose.[3] Man’s family relations became a part of the legal conception of his life, and the alienation of a wife’s affections was held remediable.[4] Occasionally the law halted, as in its refusal to recognize the intrusion by seduction upon the honor of the family. But even here the demands of society were met. A mean fiction, the action per quod servitium amisit, was resorted to, and by allowing damages for injury to the parents’ feelings, an adequate remedy was ordinarily afforded.[5] Similar to the expansion of the right to life was the growth of the legal conception of property. From corporeal property arose the incorporeal rights issuing out of it; and then there opened the wide realm of intangible property, in the products and processes of the mind,[6] as works of literature and art, [7] goodwill,[8] trade secrets, and trademarks.[9]

This development of the law was inevitable. The intense intellectual and emotional life, and the heightening of sensations which came with the advance of civilization, made it clear to men that only a part of the pain, pleasure, and profit of life lay in physical things. Thoughts, emotions, and sensations demanded legal recognition, and the beautiful capacity for growth which characterizes the common law enabled the judges to afford the requisite protection, without the interposition of the legislature.

Recent inventions and business methods call attention to the next step which must be taken for the protection of the person, and for securing to the individual what Judge Cooley calls the right “to be let alone” [10] Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life; and numerous mechanical devices threaten to make good the prediction that “what is whispered in the closet shall be proclaimed from the house-tops.” For years there has been a feeling that the law must afford some remedy for the unauthorized circulation of portraits of private persons;[11] and the evil of invasion of privacy by the newspapers, long keenly felt, has been but recently discussed by an able writer.[12] The alleged facts of a somewhat notorious case brought before an inferior tribunal in New York a few months ago,[13] directly involved the consideration of the right of circulating portraits; and the question whether our law will recognize and protect the right to privacy in this and in other respects must soon come before our courts for consideration.

Of the desirability — indeed of the necessity — of some such protection, there can, it is believed, be no doubt. The press is overstepping in every direction the obvious bounds of propriety and of decency. Gossip is no longer the resource of the idle and of the vicious, but has become a trade, which is pursued with industry as well as effrontery. To satisfy a prurient taste the details of sexual relations are spread broadcast in the columns of the daily papers. To occupy the indolent, column upon column is filled with idle gossip, which can only be procured by intrusion upon the domestic circle. The intensity and complexity of life, attendant upon advancing civilization, have rendered necessary some retreat from the world, and man, under the refining influence of culture, has become more sensitive to publicity, so that solitude and privacy have become more essential to the individual; but modern enterprise and invention have, through invasions upon his privacy, subjected him to mental pain and distress, far greater than could be inflicted by mere bodily injury. Nor is the harm wrought by such invasions confined to the suffering of those who may be the subjects of journalistic or other enterprise. In this, as in other branches of commerce, the supply creates the demand. Each crop of unseemly gossip, thus harvested, becomes the seed of more, and, in direct proportion to its circulation, results in the lowering of social standards and of morality. Even gossip apparently harmless, when widely and persistently circulated, is potent for evil. It both belittles and perverts. It belittles by inverting the relative importance of things, thus dwarfing the thoughts and aspirations of a people. When personal gossip attains the dignity of print, and crowds the space available for matters of real interest to the community, what wonder that the ignorant and thoughtless mistake its relative importance. Easy of comprehension, appealing to that weak side of human nature which is never wholly cast down by the misfortunes and frailties of our neighbors, no one can be surprised that it usurps the place of interest in brains capable of other things. Triviality destroys at once robustness of thought and delicacy of feeling. No enthusiasm can flourish, no generous impulse can survive under its blighting influence.

It is our purpose to consider whether the existing law affords a principle which can properly be invoked to protect the privacy of the individual; and, if it does, what the nature and extent of such protection is.

Owing to the nature of the instruments by which privacy is invaded, the injury inflicted bears a superficial resemblance to the wrongs dealt with by the law of slander and of libel, while a legal remedy for such injury seems to involve the treatment of mere wounded feelings, as a substantive cause of action. The principle on which the law of defamation rests, covers, however, a radically different class of effects from those for which attention is now asked. It deals only with damage to reputation, with the injury done to the individual in his external relations to the community, by lowering him in the estimation of his fellows. The matter published of him, however widely circulated, and however unsuited to publicity, must, in order to be actionable, have a direct tendency to injure him in his intercourse with others, and even if in writing or in print, must subject him to the hatred, ridicule, or contempt of his fellowmen, — the effect of the publication upon his estimate of himself and upon his own feelings nor forming an essential element in the cause of action. In short, the wrongs and correlative rights recognized by the law of slander and libel are in their nature material rather than spiritual. That branch of the law simply extends the protection surrounding physical property to certain of the conditions necessary or helpful to worldly prosperity. On the other hand, our law recognizes no principle upon which compensation can be granted for mere injury to the feelings. However painful the mental effects upon another of an act, though purely wanton or even malicious, yet if the act itself is otherwise lawful, the suffering inflicted is dannum absque injuria. Injury of feelings may indeed be taken account of in ascertaining the amount of damages when attending what is recognized as a legal injury;[14] but our system, unlike the Roman law, does not afford a remedy even for mental suffering which results from mere contumely and insult, but from an intentional and unwarranted violation of the “honor” of another.[15]

It is not however necessary, in order to sustain the view that the common law recognizes and upholds a principle applicable to cases of invasion of privacy, to invoke the analogy, which is but superficial, to injuries sustained, either by an attack upon reputation or by what the civilians called a violation of honor; for the legal doctrines relating to infractions of what is ordinarily termed the common-law right to intellectual and artistic property are, it is believed, but instances and applications of a general right to privacy, which properly understood afford a remedy for the evils under consideration.

The common law secures to each individual the right of determining, ordinarily, to what extent his thoughts, sentiments, and emotions shall be communicated to others.[16] Under our system of government, he can never be compelled to express them (except when upon the witness stand); and even if he has chosen to give them expression, he generally retains the power to fix the limits of the publicity which shall be given them. The existence of this right does not depend upon the particular method of expression adopted. It is immaterial whether it be by word[17] or by signs,[18] in painting,[19] by sculpture, or in music.[20] Neither does the existence of the right depend upon the nature or value of the thought or emotions, nor upon the excellence of the means of expression.[21] The same protection is accorded to a casual letter or an entry in a diary and to the most valuable poem or essay, to a botch or daub and to a masterpiece. In every such case the individual is entitled to decide whether that which is his shall be given to the public.[22] No other has the right to publish his productions in any form, without his consent. This right is wholly independent of the material on which, the thought, sentiment, or emotions is expressed. It may exist independently of any corporeal being, as in words spoken, a song sung, a drama acted. Or if expressed on any material, as in a poem in writing, the author may have parted with the paper, without forfeiting any proprietary right in the composition itself. The right is lost only when the author himself communicates his production to the public, — in other words, publishes it.[23] It is entirely independent of the copyright laws, and their extension into the domain of art. The aim of those statutes is to secure to the author, composer, or artist the entire profits arising from publication; but the common-law protection enables him to control absolutely the act of publication, and in the exercise of his own discretion, to decide whether there shall be any publication at all.[24] The statutory right is of no value, unless there is a publication; the common-law right is lost as soon as there is a publication.

What is the nature, the basis, of this right to prevent the publication of manuscripts or works of art? It is stated to be the enforcement of a right of property;[25] and no difficulty arises in accepting this view, so long as we have only to deal with the reproduction of literary and artistic compositions. They certainly possess many of the attributes of ordinary property; they are transferable; they have a value; and publication or reproduction is a use by which that value is realized. But where the value of the production is found not in the right to take the profits arising from publication, but in the peace of mind or the relief afforded by the ability to prevent any publication at all, it is difficult to regard the right as one of property, in the common acceptation of that term. A man records in a letter to his son, or in his diary, that he did not dine with his wife on a certain day. No one into whose hands those papers fall could publish them to the world, even if possession of the documents had been obtained rightfully; and the prohibition would not be confined to the publication of a copy of the letter itself, or of the diary entry; the restraint extends also to a publication of the contents. What is the thing which is protected? Surely, not the intellectual act of recording the fact that the husband did not dine with his wife, but that fact itself. It is not the intellectual product, but the domestic occurrence. A man writes a dozen letters to different people. No person would be permitted to publish a list of the letters written. If the letters or the contents of the diary were protected as literary compositions, the scope of the protection afforded should be the same secured to a published writing under the copyright law. But the copyright law would not prevent an enumeration of the letters, or the publication of some of the facts contained therein. The copyright of a series of paintings or etchings would prevent a reproduction of the paintings as pictures; but it would not prevent a publication of list or even a description of them.[26] Yet in the famous case of Prince Albert v. Strange, the court held that the common-law rule prohibited not merely the reproduction of the etchings which the plaintiff and Queen Victoria had made for their own pleasure, but also “the publishing (at least by printing or writing), though not by copy or resemblance, a description of them, whether more or less limited or summary, whether in the form of a catalogue or otherwise.”[27] Likewise, an unpublished collection of news possessing no element of a literary nature is protected from privacy.[28]

That this protection cannot rest upon the right to literary or artistic property in any exact sense, appears the more clearly when the subject-matter for which protection is invoked is not even in the form of intellectual property, but has the attributes of ordinary tangible property. Suppose a man has a collection of gems or curiosities which he keeps private : it would hardly be contended that any person could publish a catalogue of them, and yet the articles enumerated are certainly not intellectual property in the legal sense, any more than a collection of stoves or of chairs.[29]

The belief that the idea of property in its narrow sense was the basis of the protection of unpublished manuscripts led an able court to refuse, in several cases, injunctions against the publication of private letters, on the ground that “letters not possessing the attributes of literary compositions are not property entitled to protection;” and that it was “evident the plaintiff could not have considered the letters as of any value whatever as literary productions, for a letter cannot be considered of value to the author which he never would consent to have published.”[30] But those decisions have not been followed,[31] and it may not be considered settled that the protection afforded by the common law to the author of any writing is entirely independent of its pecuniary value, its intrinsic merits, or of any intention to publish the same and, of course, also, wholly independent of the material, if any, upon which, or the mode in which, the thought or sentiment was expressed.

Although the courts have asserted that they rested their decisions on the narrow grounds of protection to property, yet there are recognitions of a more liberal doctrine. Thus in the case of Prince Albert v. Strange, already referred to, the opinions of both the Vice-Chancellor and of the Lord Chancellor, on appeal, show a more or less clearly defined perception of a principle broader than those which were mainly discussed, and on which they both place their chief reliance. Vice-Chancellor Knight Bruce referred to publishing of a man that he had “written to particular persons or on particular subjects” as an instance of possibly injurious disclosures as to private matters, that the courts would in a proper case prevent; yet it is difficult to perceive how, in such a case, any right of privacy, in the narrow sense, would be drawn in question, or why, if such a publication would be restrained when it threatened to expose the victim not merely to sarcasm, but to ruin, it should not equally be enjoined, if it threatened to embitter his life. To deprive a man of the potential profits to be realized by publishing a catalogue of his gems cannot per se be a wrong to him. The possibility of future profits is not a right of property which the law ordinarily recognizes; it must, therefore, be an infraction of other rights which constitutes the wrongful act, and that infraction is equally wrongful, whether its results are to forestall the profits that the individual himself might secure by giving the matter a publicity obnoxious to him, or to gain an advantage at the expense of his mental pain and suffering. If the fiction of property in a narrow sense must be preserved, it is still true that the end accomplished by the gossip-monger is attained by the use of that which is another’s, the facts relating to his private life, which he has seen fit to keep private. Lord Cottenham stated that a man “is that which is exclusively his,” and cited with approval the opinion of Lord Eldon, as reported in a manuscript note of the case of Wyatt v. Wilson, in 1820, respecting an engraving of George the Third during his illness, to the effect that “if one of the late king’s physicians had kept a diary of what he heard and saw, the court would not, in the king’s lifetime, have permitted him to print and publish it; “and Lord Cottenham declared, in respect to the acts of the defendants in the case before him, that “privacy is the right invaded.” But if privacy is once recognized as a right entitled to legal protection, the interposition of the courts cannot depend on the particular nature of the injuries resulting.

These considerations lead to the conclusion that the protection afforded to thoughts, sentiments, and emotions, expressed through the medium of writing or of the arts, so far as it consists in preventing publication, is merely an instance of the enforcement of the more general right of the individual to be let alone. It is like the right not be assaulted or beaten, the right not be imprisoned, the right not to be maliciously prosecuted, the right not to be defamed. In each of these rights, as indeed in all other rights recognized by the law, there inheres the quality of being owned or possessed — and (as that is the distinguishing attribute of property) there may some propriety in speaking of those rights as property. But, obviously, they bear little resemblance to what is ordinarily comprehended under that term. The principle which protects personal writings and all other personal productions, not against theft and physical appropriation, but against publication in any form, is in reality not the principle of private property, but that of an inviolate personality.[32]

If we are correct in this conclusion, the existing law affords a principle from which may be invoked to protect the privacy of the individual from invasion either by the too enterprising press, the photographer, or the possessor of any other modern device for rewording or reproducing scenes or sounds. For the protection afforded is not confined by the authorities to those cases where any particular medium or form of expression has been adopted, not to products of the intellect. The same protection is afforded to emotions and sensations expressed in a musical composition or other work of art as to a literary composition; and words spoken, a pantomime acted, a sonata performed, is no less entitled to protection than if each had been reduced to writing. The circumstance that a thought or emotion has been recorded in a permanent form renders its identification easier, and hence may be important from the point of view of evidence, but it has no significance as a matter of substantive right. If, then, the decisions indicate a general right to privacy for thoughts, emotions, and sensations, these should receive the same protection, whether expressed in writing, or in conduct, in conversation, in attitudes, or in facial expression.

It may be urged that a distinction should be taken between the deliberate expression of thoughts and emotions in literary or artistic compositions and the casual and often involuntary expression given to them in the ordinary conduct of life. In other words, it may be contended that the protection afforded is granted to the conscious products of labor, perhaps as an encouragement to effort.[33] This contention, however plausible, has, in fact, little to recommend it. If the amount of labor involved be adopted as the test, we might well find that the effort to conduct one’s self properly in business and in domestic relations had been far greater than that involved in painting a picture or writing a book; one would find that it was far easier to express lofty sentiments in a diary than in the conduct of a noble life. If the test of deliberateness of the act be adopted, much casual correspondence which is now accorded full protection would be excluded from the beneficent operation of existing rules. After the decisions denying the distinction attempted to be made between those literary productions which it was intended to publish and those which it was not, all considerations of the amount of labor involved, the degree of deliberation, the value of the product, and the intention of publishing must be abandoned, and no basis is discerned upon which the right to restrain publication and reproduction of such so-called literary and artistic works can be rested, except the right to privacy, as a part of the more general right to the immunity of the person, — the right to one’s personality.

It should be stated that, in some instances where protection has been afforded against wrongful publication, the jurisdiction has been asserted, not on the ground of property, or at least not wholly on that ground, but upon the ground of an alleged breach of an implied contract or of a trust or confidence.

Thus, in Abernethy v. Hutchinson, 3 L. J. Ch. 209 (1825), where the plaintiff, a distinguished surgeon, sought to restrain the publication in the “Lancet” of unpublished lectures which he had delivered as St. Bartholomew’s Hospital in London, Lord Eldon doubted whether there could be property in lectures which had not been reduced to writing, but granted the injunction on the ground of breach of confidence, holding “that when persons were admitted as pupils or otherwise, to hear these lectures, although they were orally delivered, and although the parties might go to the extent, if they were able to do so, of putting down the whole by means of short-hand, yet they could do that only for the purposes of their own information, and could not publish, for profit, that which they had not obtained the right of selling.”

In Prince Albert v. Strange, I McN. & G. 25 (1849), Lord Cottenham, on appeal, while recognizing a right of property in the etchings which of itself would justify the issuance of the injunction, stated, after discussing the evidence, that he was bound to assume that the possession of the etching by the defendant had “its foundation in a breach of trust, confidence, or contract,” and that upon such ground also the plaintiff’s title to the injunction was fully sustained.

In Tuck v. Priester, 19 Q.B.D. 639 (1887), the plaintiffs were owners of a picture, and employed the defendant to make a certain number of copies. He did so, and made also a number of other copies for himself, and offered them for sale in England at a lower price. Subsequently, the plaintiffs registered their copyright in the picture, and then brought suit for an injunction and damages. The Lords Justices differed as to the application of the copyright acts to the case, but held unanimously that independently of those acts, the plaintiffs were entitled to an injunction and damages for breach of contract.

In Pollard v. Photographic Co., 40 Ch. Div. 345 (1888), a photographer who had taken a lady’s photograph under the ordinary circumstances was restrained from exhibiting it, and also from selling copies of it, on the ground that it was a breach of an implied term in the contract, and also that it was a breach of confidence. Mr. Justice North interjected in the argument of the plaintiff’s counsel the inquiry: “Do you dispute that if the negative likeness were taken on the sly, the person who took it might exhibit copies?” and counsel for the plaintiff answered: “In that case there would be no trust or consideration to support a contract.” Later, the defendant’s counsel argued that “a person has no property in his own features; short of doing what is libellous or otherwise illegal, there is no restriction on the photographer’s using his negative.” But the court, while expressly finding a breach of contract and of trust sufficient to justify its interposition, still seems to have felt the necessity of resting the decision also upon a right of property,[34] in order to bring it within the line of those cases which were relied upon as precedents.[35]

This process of implying a term in a contract, or of implying a trust (particularly where a contract is written, and where these is no established usage or custom), is nothing more nor less than a judicial declaration that public morality, private justice, and general convenience demand the recognition of such a rule, and that the publication under similar circumstances would be considered an intolerable abuse. So long as these circumstances happen to present a contract upon which such a term can be engrafted by the judicial mind, or to supply relations upon which a trust or confidence can be erected, there may be no objection to working out the desired protection though the doctrines of contract or of trust. But the court can hardly stop there. The narrower doctrine may have satisfied the demands of society at a time when the abuse to be guarded against could rarely have arisen without violating a contract or a special confidence; but now that modern devices afford abundant opportunities for the perpetration of such wrongs without any participation by the injured party, the protection granted by the law must be placed upon a broader foundation. While, for instance, the state of the photographic art was such that one’s picture could seldom be taken without his consciously “sitting” for the purpose, the law of contract or of trust might afford the prudent man sufficient safeguards against the improper circulation of his portrait; but since the latest advances in photographic art have rendered it possible to take pictures surreptitiously, the doctrines of contract and of trust are inadequate to support the required protection, and the law of tort must be resorted to. The right of property in its widest sense, including all possession, including all rights and privileges, and hence embracing the right to an inviolate personality, affords alone that broad basis upon which the protection which the individual demands can be rested.

Thus, the courts, in searching for some principle upon which the publication of private letters could be enjoined, naturally came upon the ideas of a breach of confidence, and of an implied contract; but it required little consideration to discern that this doctrine could not afford all the protection required, since it would not support the court in granting a remedy against a stranger; and so the theory of property in the contents of letters was adopted.[36] Indeed, it is difficult to conceive on what theory of the law the casual recipient of a letter, who proceeds to publish it, is guilty of a breach of contract, express or implied, or of any breach of trust, in the ordinary acceptation of that term. Suppose a letter has been addressed to him without his solicitation. He opens it, and reads. Surely, he has not made any contract; he has not accepted any trust. He cannot, by opening and reading the letter, have come under any obligation save what the law declares; and, however expressed, that obligation is simply to observe the legal right of the sender, whatever it may be, and whether it be called his right or property in the contents of the letter, or his right to privacy.[37]

A similar groping for the principle upon which a wrongful publication can be enjoined is found in the law of trade secrets. There, injunctions have generally been granted on the theory of a breach of contract, or of an abuse of confidence.[38] It would, of course, rarely happen that any one would be in possession of a secret unless confidence had been reposed in him. But can it be supposed that the court would hesitate to grant relief against one who had obtained his knowledge by an ordinary trespass, — for instance, by wrongfully looking into a book in which the secret was recorded, or by eavesdropping? Indeed, in Yovatt v. Winyard, I J.&W. 394 (1820), where an injunction was granted against making any use or of communicating certain recipes for veterinary medicine, it appeared that the defendant while in the plaintiff’s employ, had surreptitiously got access to his book of recipes, and copied them. Lord Eldon “granted the injunction, upon the ground of there having been a breach of trust and confidence;” but it would seem difficult to draw any sound legal distinction between such a case and one where a mere stranger wrongfully obtained access to the book.[39]

We must therefore conclude that the rights, so protected, whatever their exact nature, are not rights arising from contract or from special trust, but are rights as against the world; and, as above stated, the principle which has been applied to protect these rights is in reality not the principle of private property, unless that word be used in an extended and unusual sense. The principle which protects personal writings and any other productions of the intellect of or the emotions, is the right to privacy, and the law has no new principle to formulate when it extends this protection to the personal appearance, sayings, acts, and to personal relation, domestic or otherwise.[40]

If the invasion of privacy constitutes a legal injuria, the elements for demanding redress exist, since already the value of mental suffering, caused by an act wrongful in itself, is recognized as a basis for compensation.

The right of one who has remained a private individual, to prevent his public portraiture, presents the simplest case for such extension; the right to protect one’s self from pen portraiture, from a discussion by the press of one’s private affairs, would be a more important and far-reaching one. If casual and unimportant statements in a letter, if handiwork, however inartistic and valueless, if possessions of all sorts are protected not only against reproduction, but also against description and enumeration, how much more should the acts and sayings of a man in his social and domestic relations be guarded from ruthless publicity. If you may not reproduce a woman’s face photographically without her consent, how much less should be tolerated the reproduction of her face, her form, and her actions, by graphic descriptions colored to suit a gross and depraved imagination.

The right to privacy, limited as such right must necessarily be, has already found expression in the law of France.[41]

It remains to consider what are the limitations of this right to privacy, and what remedies may be granted for the enforcement of the right. To determine in advance of experience the exact line at which the dignity and convenience of the individual must yield to the demands of the public welfare or of private justice would be a difficult task; but the more general rules are furnished by the legal analogies already developed in the law of slander and libel, and in the law of literary and artistic property.

1. The right to privacy does not prohibit any publication of matter which is of public or general interest. In determining the scope of this rule, aid would be afforded by the analogy, in the law of libel and slander, of cases which deal with the qualified privilege of comment and criticism on matters of public and general interest.[42] There are of course difficulties in applying such a rule; but they are inherent in the subject-matter, and are certainly no greater than those which exist in many other branches of the law, — for instance, in that large class of cases in which the reasonableness or unreasonableness of an act is made the test of liability. The design of the law must be to protect those persons with whose affairs the community has no legitimate concern, from being dragged into an undesirable and undesired publicity and to protect all persons, whatsoever; their position or station, from having matters which they may properly prefer to keep private, made public against their will. It is the unwarranted invasion of individual privacy which is reprehended, and to be, so far as possible, prevented. The distinction, however, noted in the above statement is obvious and fundamental. There are persons who may reasonably claim as a right, protection from the notoriety entailed by being made the victims of journalistic enterprise. There are others who, in varying degrees, have renounced the right to live their lives screened from public observation. Matters which men of the first class may justly contend, concern themselves alone, may in those of the second be the subject of legitimate interest to their fellow-citizens. Peculiarities of manner and person, which in the ordinary individual should be free from comment, may acquire a public importance, if found in a candidate for public office. Some further discrimination is necessary, therefore, than to class facts or deeds as public or private according to a standard to be applied to the fact or deed per se. To publish of a modest and retiring individual that he suffers from an impediment in his speech or that he cannot spell correctly, is an unwarranted, if not an unexampled, infringement of his rights, while to state and comment on the same characteristics found in a would-be congressman could not be regarded as beyond the pale of propriety.

The general object in view is to protect the privacy of private life, and to whatever degree and in whatever connection a man’s life has ceased to be private, before the publication under consideration has been made, to that extent the protection is likely to be withdrawn.[43] Since, then, the propriety of publishing the very same facts may depend wholly upon the person concerning whom they are published, no fixed formula can be used to prohibit obnoxious publications. Any rule of liability adopted must have in it an elasticity which shall take account of the varying circumstances of each case, — a necessity which unfortunately renders such a doctrine not only more difficult of application, but also to a certain extent uncertain in its operation and easily rendered abortive. Besides, it is only the more flagrant breaches of decency and propriety that could in practice be reached, and it is not perhaps desirable even to attempt to repress everything which the nicest taste and keenest sense of the respect due to private life would condemn.

In general, then, the matters of which the publication should be repressed may be described as those which concern the private life, habits, acts, and relations of an individual, and have no legitimate connection with his fitness for a public office which he seeks or for which he is suggested, or for any public or quasi public position which he seeks or for which he is suggested, and have no legitimate relation to or bearing upon any act done by him in a public or quasi public capacity. The foregoing is not designed as a wholly accurate or exhaustive definition, since that which must ultimately in a vast number of cases become a question of individual judgment and opinion is incapable of such definition; but it is an attempt to indicate broadly the class of matters referred to. Some things all men alike are entitled to keep from popular curiosity, whether in public life or not, while others are only private because the persons concerned have not assumed a position which makes their doings legitimate matters of public investigation.[44]

2. The right to privacy does not prohibit the communication of any matter, though in its nature private, when the publication is made under circumstances which would render it a privileged communication according to the law of slander and libel. Under this rule, the right to privacy is not invaded by any publication made in a court of justice, in legislative bodies, or the committees of those bodies; in municipal assemblies, or the committees of such assemblies, or practically by any communication in any other public body, municipal or parochial, or in any body quasi public, like the large voluntary associations formed for almost every purpose of benevolence, business, or other general interest; and (at least in many jurisdictions) reports of any such proceedings would in some measure be accorded a like privilege.[45] Nor would the rule prohibit any publication made by one in the discharge of some public or private duty, whether legal or moral, or in conduct of one’s own affairs, in matters where his own interest is concerned.[46]

3. The law would probably not grant any redress for the invasion of privacy by oral publication in the absence of special damage. The same reasons exist for distinguishing between oral and written publications of private matters, as is afforded in the law of defamation by the restricted liability for slander as compared with the liability for libel.[47] The injury resulting from such oral communications would ordinarily be so trifling that the law might well, in the interest of free speech, disregard it altogether.[48]

4. The right to privacy ceases upon the publication of the facts by the individual, or with his consent.

This is but another application of the rule which has become familiar in the law of literary and artistic property. The cases there decided establish also what should be deemed a publication, — the important principle in this connection being that a private communication of circulation for a restricted purpose is not a publication within the meaning of the law.[49]

5. The truth of the matter published does not afford a defence. Obviously this branch of the law should have no concern with the truth or falsehood of the matters published. It is not for injury to the individual’s character that redress or prevention is sought, but for injury to the right of privacy. For the former, the law of slander and libel provides perhaps a sufficient safeguard. The latter implies the right not merely to prevent inaccurate portrayal of private life, but to prevent its being depicted at all.[50]

6. The absence of “malice” in the publisher does not afford a defence. Personal ill-will is not an ingredient of the offence, any more than in an ordinary case of trespass to person or to property. Such malice is never necessary to be shown in an action for libel or slander at common law, except in rebuttal of some defence, e.g., that the occasion rendered the communication privileged, or, under the statutes in this State and elsewhere, that the statement complained of was true. The invasion of the privacy that is to be protected is equally complete and equally injurious, whether the motives by which the speaker or writer was actuated are taken by themselves, culpable or not; just as the damage to character, and to some extent the tendency to provoke a breach of the peace, is equally the result of defamation without regard to motives leading to its publication. Viewed as a wrong to the individual, this rule is the same pervading the whole law of torts, by which one is held responsible for his intentional acts, even thought they care committed with no sinister intent; and viewed as a wrong to society, it is the same principle adopted in a large category of statutory offences.

The remedies for an invasion of the right of privacy are also suggested by those administered in the law of defamation, and in the law of literary and artistic property, namely: –

1. An action of tort for damages in all cases.[51] Even in the absence of special damages, substantial compensation could be allowed for injury to feelings as in the action of slander and libel.

2. An injunction, in perhaps a very limited class of cases.[52]

It would doubtless be desirable that the privacy of the individual should receive the added protection of the criminal law, but for this, legislation would be required.[53] Perhaps it would be deemed proper to bring the criminal liability for such publication within narrower limits; but that the community has an interest in preventing such invasions of privacy, sufficiently strong to justify the introduction of such a remedy, cannot be doubted. Still, the protection of society must come mainly through a recognition of the rights of the individual. Each man is responsible for his own acts and omissions only. If he condones what he reprobates, with a weapon at hand equal to his defence, he is responsible for the results. If he resists, public opinion will rally to his support. Has he then such a weapon? It is believed that the common law provides him with one, forged in the slow fire of the centuries, and to-day fitly tempered to his hand. The common law has always recognized a man’s house as his castle, impregnable, often, even to his own officers engaged in the execution of its command. Shall the courts thus close the front entrance to constituted authority, and open wide the back door to idle or prurient curiosity?

Samuel D. Warren,

Louis D. Brandeis.

BOSTON, December, 1890.

[downloaded 18 May 1996 from an internet site hosted by Stephen R. Laniel; and reformatted]


Ecuador: proyecto de ley de protección de datos

Posted: mayo 30th, 2006 | Author: | Filed under: Costa Rica, Habeas Data, Proyecto de Ley | No Comments »

*ANTEPROYECTO LEY DE ORGANICA DE PROTECCIÓN DE DATOS PERSONALES*
Elaborado por la “AEDIT”:http://www.aedit.org.ec/ (en discusión)

En la Asociación Ecuatoriana de Derecho Informático y Telecomunicaciones “AEDIT”:http://www.aedit.org.ec/, and estamos preparando un anteproyecto de Ley de Protección de datos personales y lo estamos proponiendo al Congreso Nacional. Al igual como lo hicimos en su momento con la Ley de Comercio Electrónico para el Ecuador, ahora pedimos formalmente vuestro apoyo, para que nos den observaciones y recomendaciones al proyecto que tenemos preparado. El documento se basa en normas internacionales y en la poca normativa que tenemos en el Ecuador sobre el tema, por lo que será valioso contar con su experiencia práctica en la aplicación de la norma en sus respectivos paí­ses. Pese a que estamos concientes de la dificultad de sacar una Ley de este tipo, es un desafí­o que nos hemos propuesto y esperamos reducir los dos años y medio que nos tomó lograr la aprobación de la Ley de Comercio electrónico. Gracias por su colaboración.
José Luis Barzallo – Presidente “AEDIT”:http://www.aedit.org.ec/

*TíTULO PRIMERO*
*DEL OBJETO, íMBITO DE APLICACIÓN Y DEFINICIONES*
Artí­culo 1.- Objeto.- La presente Ley tiene por objeto garantizar y proteger los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, tanto públicos como privados, para garantizar el derecho al honor y a la intimidad de las personas, así­ como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en la Constitución Polí­tica de la República del Ecuador.

Artí­culo 2.- ímbito de Aplicación.- Las disposiciones de la presente Ley Orgánica, serán aplicables, tanto a las personas naturales como a las personas jurí­dicas, nacionales o extranjeras, públicas o privadas, en relación a los datos de carácter personal registrados en soporte fí­sico o digital que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos.

En ningún caso se podrá afectar el secreto de las fuentes de información periodí­sticas y el secreto profesional que determinen las normas correspondientes.

Artí­culo 3.- Definiciones.- A los fines de la presente Ley se entiende por:

Titular o interesado: Toda persona natural cuyos datos sean objeto del tratamiento al que se refiere la presente Ley.

Almacenamiento de datos: Archivo o custodia de datos en un registro o base de datos de cualquier tipo.

Archivo, registro, fichero, base o banco de datos personales: Es el conjunto de datos personales que pueden ser objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere el modo de su recopilación, formación, almacenamiento, organización o acceso.

Bloqueo de datos: suspensión temporal de toda operación de tratamiento de los datos personales almacenados.

Comunicación o Transmisión de datos: Es todo traspaso de datos personales realizados de cualquier forma a una persona distinta del titular, sean determinados o determinables

Consentimiento del interesado: Cualquier manifestación de voluntad, libre, inequí­voca,
expresa e informada, mediante la cual el interesado autorice el tratamiento de sus datos personales.

Dato caduco: Aquel que ha perdido vigencia por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su finalidad.

Dato estadí­stico: Para efectos de esta Ley, son aquellos que permiten el cálculo de probabilidades a partir de datos personales, los que no podrán en ningún momento ser asociados a un titular identificado o identificable.

Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico, automatizado o por cualquier medio conocido o que se conociere en el futuro.

Datos personales: Son datos o información de carácter personal o í­ntimo, que son materia de protección en virtud de ésta Ley.

Datos sensibles: Datos personales que afectan el derecho a la intimidad personal o familiar, en resguardo de las garantí­as Constitucionales, que revelen caracterí­sticas fí­sicas, morales o emocionales de una persona o cualquier otra información relacionada con circunstancias de su vida afectiva o familiar, hábitos personales y de consumo, ideologí­as, opiniones u orientación polí­tica, afiliación sindical, convicciones filosóficas o morales, origen racial y/o étnico, creencias o convicciones religiosas, estados de salud fí­sico o psicológico, vida sexual o información genética; así­ como toda violación a las garantí­as previstas por las leyes, tratados y convenios internacionales.

Encargado del tratamiento: la persona natural o jurí­dica, pública o privada que, sólo o en conjunto, trate datos personales por a nombre o bajo delegación del responsable del tratamiento. Todo funcionario público deberá contar con la respectiva delegación expresa.

Eliminación o cancelación de datos; la destrucción de datos almacenados en registros o base de datos, cualquiera fuere el procedimiento utilizado.

Fuentes accesibles al público: aquellos datos que constan en archivos cuya consulta puede ser realizada, por cualquier persona sin restricción ni reserva alguna. Por ejemplo guí­as telefónicas o listados de colegios profesionales.

Modificación de datos: todo cambio en el contenido de los datos almacenados en archivos o bases de datos.

Procedimiento de Disociación de datos: Todo tratamiento de datos personales por el cual dicha información no pueda asociarse a persona determinada o determinable.

Responsable de archivo, fichero, registro, base o banco de datos: Persona natural o jurí­dica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento de datos de carácter personal.

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos, manuales o mecánicos o de cualquier forma o modo , que permitan recolectar, conservar, ordenar, modificar, relacionar, elaborar, seleccionar, extraer, evaluar, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal o utilizarlos en cualquier forma o modo, incluyendo la cesión a terceros a través de comunicaciones, consultas interconexiones, transferencias, entre otras.

Usuario de datos: Toda persona natural o jurí­dica, pública o privada que realice el tratamiento de datos por cualquier forma o modo.

TITULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS

Sección Primera: Calidad de los datos

Artí­culo 4.- Calidad de los datos.- Los datos de carácter personal recogidos deberán ser ciertos, adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades del tratamiento, que deberán ser obtenidos de manera explí­cita y legí­tima; y, por lo tanto no podrán usarse para fines incompatibles con aquellos para los que los datos hubiesen sido recogidos. La calidad de los datos seguirá los siguientes principios:

a). No se considerará incompatible el tratamiento posterior de datos personales con fines históricos, estadí­sticos o cientí­ficos, los que no podrán en ningún momento ser asociados a un titular identificado o identificable, salvo autorización expresa por escrito del titular o su causahabiente.

b). Los datos de carácter personal deberán ser exactos y puestos al dí­a a fin de que respondan con veracidad a la situación actual del titular.

Los datos inexactos o incompletos, total o parcialmente, , deberán ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento del mismo, sin perjuicio de los derechos del titular establecidos en la presente ley.

c). Los datos de carácter personal que resultaren ser inexactos o incompletos, en todo o en parte, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, previa notificación al titular de los datos.

Los datos de carácter personal también deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados; y no serán conservados de manera que permita la identificación del interesado durante un perí­odo superior al necesario para las finalidades para las que hubieran sido recopiladas o registradas.

d). Se prohí­be la recopilación de datos por medios fraudulentos, desleales o ilí­citos. Tampoco se lo podrá hacer para fines incompatibles para los que fueron recogidos.

e). Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular y deberán ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recopilados.

Sección Segunda: De la información

Artí­culo 5.- Derecho de información en la recopilación de datos.- Los interesados a los que se soliciten datos personales, deberán ser previamente informados de modo expreso, preciso e inequí­voco:

a) De la existencia de un tratamiento de datos de carácter personal, de la finalidad de la recogida y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

e) Cuando se utilicen cuestionarios u otros impresos para la recopilación, deberán constar en los mismos, en forma claramente legible, las advertencias a que se refieren los literales anteriores.

Artí­culo 6.- Datos proporcionados por terceros.- Cuando los datos de carácter personal no hayan sido recopilados del interesado, esto deberá ser informado de forma expresa, precisa e inequí­voca, por el responsable del fichero o su representante, dentro de los tres meses siguientes de la fecha de registro de los datos, salvo que ya hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, así­ como de lo previsto en los literales a), d) y e) del artí­culo precedente.

No será de aplicación lo dispuesto en el inciso anterior cuando expresamente una Ley lo prevea; cuando el tratamiento tenga fines históricos, estadí­sticos o cientí­ficos; o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigí¼edad de los datos y a las posibles medidas compensatorias en beneficio del titular de los datos.

Asimismo, tampoco regirá lo dispuesto en el inciso primero cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o investigación comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará de la fuente de los datos y de la identidad del responsable del tratamiento así­ como de los derechos que le asisten.

Sección Tercera: Consentimiento

Artí­culo 7.- Consentimiento del titular.- El tratamiento de los datos de carácter personal requerirá el consentimiento libre, expreso e inequí­voco del titular de los datos personales, salvo que la Ley disponga otra cosa.

Aplicación del Consentimiento:

a). No será preciso el consentimiento cuando los datos de carácter personal se recopilen para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato comercial, laboral o administrativo y sean necesarios para su desarrollo o cumplimiento; se trate de listados cuyos datos se limiten a nombre, cédula de identidad, identificación tributaria o de seguridad social, ocupación, fecha de nacimiento y domicilio; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artí­culo 17 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legí­timo perseguido por el responsable del archivo o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

b). El consentimiento a que se refiere el artí­culo 11 podrá ser revocado en cualquier momento, cuando exista causa justificada para ello y no se le atribuirán efectos retroactivos.

Sección Cuarta: Datos Especialmente Protegidos

Artí­culo 8.- Datos especialmente protegidos.- Nadie podrá ser obligado a declarar sobre sus convicciones polí­ticas y religiosas, ni sobre datos referentes a salud y vida sexual de conformidad con el artí­culo 23 numeral 21 de la Constitución Polí­tica del Estado. El consentimiento y sus excepciones deberán quedar claramente establecidas en cualquier relación con los datos personales. Tanto el consentimiento como sus excepciones y limitaciones serán aplicados de la siguiente manera:

a). íšnicamente con el consentimiento expreso y por escrito del titular podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideologí­a, afiliación sindical, salud o vida sexual, religión y Polí­tica.

b). Se exceptúan del consentimiento expreso y escrito los archivos mantenidos por los partidos polí­ticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea polí­tica, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del titular.

Cuando en relación con estos datos se proceda a recabar o recopilar el consentimiento a los titulares, se advertirá previamente al interesado acerca de su derecho a no entregar la información.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recopilados, tratados y cedidos cuando existan razones de interés público y general , así­ lo disponga una Ley o el titular consienta expresamente.

c). Quedan prohibidos los archivos creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideologí­a, afiliación sindical, religión, creencias, origen racial o étnico, salud o vida sexual.

d). No obstante lo dispuesto en los artí­culos anteriores podrán ser objeto de tratamiento los datos de carácter personal a que se refiere la presente Ley, cuando dicho tratamiento resulte necesario para prevención o diagnóstico médicos, la prestación de servicios o asistencia sanitaria o tratamientos médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el inciso anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del titular o de otra persona, en el supuesto de que el titular esté fí­sica o jurí­dicamente incapacitado para dar su consentimiento.

e). Sin perjuicio de lo que se dispone en la presente Ley respecto de la cesión de datos personales; las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes, podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que acudan o hayan de ser tratados en los mismos, respetando los principios del secreto profesional, y de acuerdo con lo dispuesto en el Código de Salud y demás normativa relacionada.

f). Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras y siguiendo sus propios principios.

Sección Quinta: Seguridad de los datos

Artí­culo 9.- El responsable del archivo, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, tomando en consideración el estado de la tecnologí­a, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya sea que provengan de la acción humana o del medio fí­sico o natural.

No se registrarán datos de carácter personal en archivos que no reúnan las condiciones que se determinen por ví­a reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Sección Sexta: Deber de secreto y Cesión de Datos

Artí­culo 10.- El responsable del archivo y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos; obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo o, en su caso, con el responsable del mismo.

El obligado podrá ser relevado de su obligación del deber de secreto profesional por disposición judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública que sean dispuestos por una autoridad competente.

Respecto de la Cesión de datos se aplicarán las siguientes reglas:

a). Los datos de carácter personal objeto del tratamiento sólo podrán ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legí­timas del cedente y del cesionario con el previo consentimiento del interesado, indicando previamente sobre la finalidad de la cesión y la identificación del cesionario o de los elementos que permitan realizarlo.

b). El consentimiento exigido en el inciso anterior no será necesario:

i) Cuando la cesión está autorizada en una Ley.

ii) Cuando se trate de datos recopilados de fuentes accesibles al público.

iii) Cuando el tratamiento responda a la libre y legí­tima aceptación de una relación jurí­dica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de terceros. En este caso la comunicación sólo será legí­tima en cuanto se limite a la finalidad que la justifique.

iv) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Público o los Jueces o Tribunales, en el ejercicio de las funciones que tiene atribuidas.

v) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

vi) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo o para realizar los estudios epidemiológicos en los términos establecidos en la legislación.
c). El consentimiento al que hace mención el literal anterior puede ser revocado por el titular.

d). Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones, no serán cedidos o comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

En los supuestos previstos en los incisos precedentes no será necesario el consentimiento del titular a que se refiere la presente Ley.

e) Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al titular de los datos no le permita conocer la finalidad a la que destinarán los datos personales cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

f) Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

g) El tratamiento de datos por cuenta de terceros deberá estar regulado en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará a otras personas, ni siquiera para su conservación,.

En el contrato se estipularán las medidas de seguridad a que se refiere esta Ley, que el encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documento en el que conste algún dato de carácter personal objeto del tratamiento.

h) No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. En estos casos constarán expresamente los lí­mites de uso en un contrato.

i) En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, por lo que deberá respoder por las infracciones en que hubiera incurrido personalmente.

Sección Séptima: Derechos de los titulares de datos

Artí­culo 11.- Conocimiento del titular de los datos.- Toda persona tiene derecho a conocer la información que se tiene sobre su persona. También tiene derecho a no verse sometido a decisiones relacionadas con su persona en base al tratamiento de sus datos personales, así­ como a solicitar rectificaciones o indemnizaciones en caso de ser necesario. Los derechos constantes en este artí­culo serán ejercidos por el titular de los datos en cualquier momento.

Estos derechos del titular de los datos serán ejercidos de la siguiente forma:

a). Toda persona puede solicitar información a la Agencia de Protección de Datos relativa a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables.

El registro que se lleve al efecto será de consulta pública y gratuita.

b). Toda persona tiene derecho a ejercer el derecho de acceso a la información de acuerdo con la Constitución Polí­tica. Para esto:

i. El titular de los datos tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados destinados a proveer información.

ii. El responsable o usuario debe proporcionar la información solicitada dentro de los diez dí­as plazo. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley.

iii. El derecho de acceso a que se refiere este artí­culo será ejercido en forma gratuita, en intervalos no inferiores a tres meses, salvo que se acredite un interés legí­timo al efecto.

iv. El ejercicio del derecho al cual se refiere este artí­culo en el caso de datos de personas fallecidas le corresponderá a sus sucesores.

v. El titular de los datos podrá obtener la información gratuitamente, en los términos de esta Ley, sobre el origen de los datos y las comunicaciones realizadas o lo que se prevé hacer con los mismos.

vi. El acceso al que se refiere este artí­culo podrá hacerse a través de cualquier medio fí­sico o intangible, garantizando que la información conste claramente en el medio de información puesto a disposición del titular.

c). La forma de proporcionar la información seguirá las siguientes reglas:

i. La información debe ser suministrada en forma clara, de libre acceso y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

ii. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos de terceros, aun cuando se vinculen con el interesado.

iii. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

d). El Derecho de rectificación, actualización o supresión será ejercido.

i. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular y que estén incluidos en un banco de datos.

ii. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del titular en el plazo máximo de quince dí­as luego de recibido el reclamo del titular de los datos o advertido del error o falsedad.

iii. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover la acción de protección de los datos personales o de hábeas data prevista en la presente ley.

iv. En el supuesto de cesión o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación, supresión o transferencia al cesionario dentro del término de cinco dí­as de efectuado el tratamiento del dato.

v. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legí­timos de terceros, o cuando existiera una obligación legal de conservar los datos.

vi. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

vii. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

viii. Los datos originales que fueren rectificados, suprimidos o actualizados, deberán conservarse a disposición de autoridades competentes en caso de procesos legales seguidos en contra del titular de los datos. La supresión definitiva se hará una vez transcurridos 15 años desde su creación.

ix. En caso de actualización, rectificación o supresión, el responsable de los datos deberá comunicar tal hecho a quienes hubiere transmitido previamente información con los datos del titular.

e). Excepciones.-

i. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Seguridad Nacional, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros. En caso de oposición a esta actuación, deberá resolver la Agencia de Protección de datos en un término de 10 dí­as.

ii. La información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o de seguridad social, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así­ lo disponga debe ser motivada y notificada al titular en el término de 10 dí­as.

iii. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión, cuando el titular tenga que ejercer su derecho de defensa.

f). La rectificación, actualización o supresión de datos personales inexactos o incompletos que consten en registros públicos o privados se efectuará sin costo alguno para el interesado.

g). Los procedimientos para el ejercicio de los derechos de actualización, rectificación o supresión de los datos personales, serán determinados en los reglamentos pertinentes.

En caso de denegación del ejercicio de los derechos aquí­ establecidos, el titular de los datos personales podrá acudir ante la Agencia de Protección de datos, la que deberá confirmar la procedencia o improcedencia de la denegación en un plazo máximo de cuarenta y cinco dí­as.

Contra las resoluciones de la Agencia de Protección de datos caben los recursos establecidos en el Estatuto del Régimen Jurí­dico Administrativo de la Función Ejecutiva o en la jurisdicción contencioso administrativa.

h). El Derecho a indemnización será ejercido de la siguiente manera.-

i. Los titulares de datos personales que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

ii. Cuando se trate de archivo de titularidad pública, la responsabilidad se exigirá de acuerdo con lo dispuesto en la Constitución y demás normas sobre la indemnización de perjuicios por parte de la administración pública y el ejercicio del derecho de repetición del Estado.

iii. En el caso de los archivos de titularidad privada, la acción se ejercitará ante la justicia ordinaria.

i) La impugnación de valoraciones personales tendrá como fundamento:

i. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento el resultado del tratamiento de datos personales que suministren una definición del perfil o personalidad del interesado.

ii. Los actos que resulten contrarios a esta disposición serán nulos.

TíTULO III
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

Artí­culo 12.- Registro de archivos de datos.- El archivo, registro y manejo de bases de datos cumplirá con lo dispuesto en este artí­culo:

a). Inscripción.-

1. Todo archivo, registro, base o banco de datos público y privado destinado a proporcionar informes o que los proporcionare en cualquier momento, debe inscribirse en el Registro que al efecto habilite La Agencia de Protección de Datos Personales.

2. El registro de archivos de datos debe comprender como mí­nimo la siguiente información:

i) Nombre, apellido y domicilio del responsable;

ii) Caracterí­sticas y finalidad del archivo;

iii) Naturaleza de los datos personales contenidos en cada archivo;

iv) Forma de recolección y actualización de datos;

v) Destino de los datos y personas fí­sicas o jurí­dicas a las que pueden ser transmitidos en cualquier momento o tiempo;

vi) Modo de interrelacionar la información registrada;

vii) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar las especificaciones que deberán cumplir las personas con acceso al tratamiento de la información;

viii) Tiempo de conservación de los datos;

ix) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a seguir para la rectificación o actualización de los datos.

3) Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en la presente ley.

b). Archivos, registros o bancos de datos públicos.- Las Resoluciones sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a Instituciones públicas deben publicarse en el Registro Oficial.

Las Resoluciones deben indicar:

i) Caracterí­sticas y finalidad del archivo;

ii) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

iii) Procedimiento de obtención y actualización de los datos;

iv) Estructura básica del archivo y la descripción de la naturaleza de los datos personales que contendrán;

v) Las cesiones, transferencias o interconexiones previstas;

vi) Órganos responsables del archivo, precisando dependencia jerárquica en su caso;

vii) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión.

En las Resoluciones que se dicten para la supresión de los registros informatizados o manuales se establecerá el destino de los mismos o las medidas que se adopten para su destrucción.

c). Comunicación de datos entre Administraciones Públicas.- Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

No obstante lo establecido en esta Ley, la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a archivos de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

En los supuestos previstos en los apartados 1 y 2 del presente artí­culo no será necesario el consentimiento del titular a que se refiere esta Ley.

d). Casos especiales.- Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, Policí­a Nacional, organismos encargados de la seguridad nacional o seccional; y aquéllos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, Policí­a Nacional, organismos encargados de la seguridad nacional o seccional, sin consentimiento de los titulares, queda limitado a aquellos supuestos y categorí­a de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Los archivos, en tales casos, deberán ser especí­ficos y establecidos al efecto, debiendo clasificarse por categorí­as, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de los archivos del Servicio de Rentas Internas podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias.

e). Archivos, registros o bancos de datos privados.- Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en esta Ley.

El registro de los datos será regulado por el Reglamento que se dictará para la aplicación de esta Ley.

Cualquier cambio en el archivo respecto de su responsable, finalidad o la ubicación, deberá ser comunicado inmediatamente a la Agencia de Protección de Datos Personales.

f). Prestación de servicios informatizados de datos personales. -

Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un perí­odo de hasta dos años.

g). Prestación de servicios de información crediticia. -

1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por Burós de crédito legalmente establecidas..

2. Pueden tratarse igualmente datos relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión.

4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los titulares durante los últimos seis años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hacer constar dicho hecho.

5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

h). Archivos, registros o bancos de datos con fines de publicidad.-

En la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos de profesionales a que se refiere esta Ley, deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artí­culo.

i). Archivos, registros o bancos de datos relativos a encuestas. -

Las normas de la presente ley no se aplicarán a las encuestas de opinión, mediciones y estadí­sticas, trabajos de prospección de mercados, investigaciones cientí­ficas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna, caso contrario no se podrán utilizar los datos recopilados.

TITULO IV
CONTROL

Sección Primera: Transferencia Internacional de datos

Artí­culo 13.- Queda prohibida la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Artí­culo 14.- La prohibición a la que hace mención el artí­culo anterior no regirá en los siguientes supuestos:

a) Colaboración judicial internacional;

b) Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del titular, o una investigación epidemiológica;

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República del Ecuador sea parte; y,

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, tráfico de personas, corrupción, pornografí­a infantil y el narcotráfico.

TITULO V
DE LA AGENCIA DE PROTECCIÓN DE DATOS

Sección Primera: Organización

Artí­culo 15: De la Agencia de Protección de Datos.- La agencia de Protección de Datos es un ente de Derecho público, con personalidad jurí­dica propia y plena capacidad pública y privada, que actúa con plena independencia de la Administración Pública en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Reglamento propio, que será aprobado por el Presidente de la República.

La Agencia de Protección de Datos se regirá de la siguiente forma:

a). Del Director.- El Director de la Agencia de Protección de Datos dirigirá la Agencia y ostentará su representación. Será designado por el término de cuatro (4) años, por el Ejecutivo, debiendo ser seleccionado de manera obligatoria de entre una terna propuesta por: las organizaciones sociales calificadas como parte de la sociedad civil de defensa de los derechos individuales, especialmente de derecho a la intimidad o acceso a la información,; la Asociación Ecuatoriana de Derecho Informático y Telecomunicaciones y la Defensorí­a del Pueblo, con personas que tengan antecedentes en la materia.

En caso de no presentar a sus candidatos veinte dí­as después de convocadas por el Presidente de la República, será elegido de entre los candidatos propuestos y en caso de no contar con candidatos, será elegido directamente por el Presidente de la República.

El Director de la Agencia de Protección de Datos, ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oí­r al Consejo Consultivo en aquéllas propuestas que éste le realice en el ejercicio de sus funciones.

El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y podrá ser removido por el Ejecutivo por incumplimiento en el desempeño de sus funciones, debiendo convocar nuevamente a un concurso.

b). El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del perí­odo a que se refiere el inciso primero del artí­culo anterior a petición personal o por separación dispuesta por el Ejecutivo, previa instrucción de expediente administrativo, en el que necesariamente serán oí­dos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad o incompatibilidad sobrevenida para el ejercicio de su función, condena por delito doloso.

c). Funciones de la Agencia de Protección de Datos.- La Agencia de Protección de Datos a través de su Director deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley.
A tales efectos tendrá las siguientes funciones y atribuciones:

1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación..

2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

3) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

4) Dictar las normas de carácter general y Resoluciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

5) Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el registro permanente de los mismos;

6) Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar a través de providencias preventivas, la autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley;

En caso de que por el soporte en el cual esté contenida la información, las pruebas del incumplimiento a la Ley, puedan ser borradas o desaparecidas, el Director de la Agencia de Protección de Datos podrá disponer medidas cautelares de carácter administrativo a fin de verificar el incumplimiento de la Ley.

7) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

8) Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten para su aplicación.;

9) Intervenir en las acciones penales que promoviera las Agencia de Protección de Datos por violaciones a la presente ley;

10) Controlar el cumplimiento de los requisitos y garantí­as que deben reunir los archivos o bancos de datos privados o públicos destinados a suministrar informes, para obtener la correspondiente inscripción en el Registro creado por esta ley.

11) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.

12) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

13) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

14) Requerir a los responsables y los encargados del tratamiento de datos personales, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos, cuando no se ajuste a sus disposiciones.

15) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

16) Recabar de los responsables de los archivos cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

17) Velar por la publicidad de la existencia de los archivos de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos archivos con la información adicional que el Director de la Agencia determine.

18) Redactar un informe anual y remitirlo al Congreso Nacional.

19) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así­ como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

20) Aquellas que le sean atribuidas por normas legales o reglamentarias.

d). Del Consejo Consultivo.- El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

El Defensor del Pueblo o su representante.

Un representante del Presidente de la República.

Un experto en la materia, propuesto por el Consejo Nacional de Universidades y Escuelas Politécnicas.

Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente por la Agencia de Protección de datos.

Un representante de la Asociación de Municipalidades del Ecuador (AME).

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

e). El Registro General de Protección de Datos.- El Registro General de Protección de Datos será conformado en la Agencia de Protección de Datos.

Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los archivos de que sean titulares las Entidades del sector Público.

b) Los archivos de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los datos relativos a los archivos que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

f). Potestad de inspección.- La Agencia de Protección de datos personales podrá inspeccionar los archivos a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos.

A tal efecto, podrá solicitar la exhibición o el enví­o de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así­ como inspeccionar los equipos fí­sicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

Los funcionarios de la Agencia de Protección de datos personales, estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

g). De la Delegación.- La Agencia de Protección de datos personales podrá crear delegaciones en cualquier ciudad del Ecuador. El funcionamiento de cada Delegación se financiera con los recursos económicos que se obtengan de acuerdo con esta Ley.

h). Recursos económicos.- La Agencia de Protección de datos se financiará:

1. Con el valor a cobrarse por concepto de Inscripción en el Registro y por el pago anual de un valor determinado correspondiente a USD. 50.

2. Con el valor recaudado por concepto de multas.

3. Con los derechos que se generen por la emisión de certificados solicitados a petición de parte. Cada certificación tendrá un costo de USD. 2.

4. Con los recursos que se obtengan de la venta de publicaciones relacionadas a la protección de datos.

5. De la suscripción a un boletí­n informativo que puede ser digital e impreso el mismo que tendrá un costo determinado ya sea anual o mensual.

i). De las Resoluciones.- Las resoluciones de la Agencia de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados.

La publicación se realizará preferentemente a través de medios informáticos o telemáticos.

Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.

Sección segunda: De la creación de archivos

Artí­culo 16: Creación.- Podrán crearse archivos de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legí­timos de la persona, empresa o entidad titular y se respeten las garantí­as que esta Ley establece para la protección de las personas.

La Creación de archivos de titularidad privada cumplirán con:

a). Notificación e Inscripción Registral.- Toda persona natural o jurí­dica o entidad de cualquier tipo que proceda a la creación de archivos privados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del archivo, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a paí­ses terceros.

El Registro General de Protección de Datos inscribirá el archivo si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

b). De las modificaciones de los archivos.- Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del archivo automatizado, sobre su responsable y en la dirección de su ubicación.

c). Inscripción automática.- Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos a todos los efectos, sin perjuicio de que posteriormente la Agencia de Protección de Datos personales observare el archivo.

d). Comunicación de la cesión de datos.- El responsable del archivo, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los titulares y a la Agencia de Protección de Datos, indicando, asimismo, la finalidad del archivo, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

La obligación establecida en el apartado anterior no existirá cuando la cesión venga impuesta por Ley.

e). Datos incluidos en las fuentes de acceso público.- Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales de fuentes de acceso público, deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales o gremios, indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial.

La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez dí­as respecto de la información que se provea mediante consulta o comunicación telemática. Dicha información será eliminada en la siguiente edición del listado que contenga la información, cualquiera que sea el soporte en que se edite.

En caso de que se obtenga telemáticamente una copia de la lista de información en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención, si ésta información sólo puede ser encontrada en la lista publicada.

Los datos que figuren en las guí­as telefónicas o de servicios de telecomunicaciones disponibles al público se regirán por su normativa especí­fica.

Sección Tercera: Inscripción de archivos

Artí­culo 17: Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control.

La inscripción cumplirá con lo siguiente:

a). Requisitos.- El registro de archivos de datos debe comprender como mí­nimo la siguiente información:

1) Nombre, apellidos y domicilio del responsable;

2) Caracterí­sticas y finalidad del archivo;

3) Naturaleza de los datos personales contenidos en cada archivo;

4) Forma de recolección y actualización de datos;

5) Destino de los datos y personas fí­sicas o de existencia ideal a las que pueden ser transmitidos;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categorí­a de personas con acceso al tratamiento de la información;

8) Tiempo de conservación de los datos;

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

b). archivos públicos.- Las normas sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a organismos públicos sólo podrán realizarse por medio de Resolución de la misma Entidad o Decreto Ejecutivo publicado en el Registro Oficial y deberán indicar:

1) Caracterí­sticas y finalidad del archivo;

2) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

3) Procedimiento de obtención y actualización de los datos;

4) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;

5) Las cesiones, transferencias o interconexiones previstas;

6) Órganos y personas responsables del archivo, precisando dependencia jerárquica en su caso;

7) Las dependencias ante las que se puede ejercer los derechos de acceso, rectificación o supresión.

c). Inscripción de ficheros privados.- Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en esta Ley.

De los datos de Tráfico:

Artí­culo 18.- Dato de tráfico: se denomina dato de trafico cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de una facturación como tal.

Los datos de tráfico responderán a lo siguiente:

a). Los datos de tráfico podrán ser utilizados únicamente por los prestadores del servicio, con el fin de llevar a cabo la facturación del titular del dato, pero en ningún momento estará facultado para rastrear esos datos y obtener información intima o privada del titular como resultado de estos.

b). Los datos de tráfico estarán de la mano con el derecho de la intimidad y la privacidad. Y en concordancia con la Constitución artí­culo 23 numeral 13.

c). Los datos de tráfico no podrán ser manipulados de ninguna manera que pueda obtener o disponer de otros datos que no sean los necesarios para llevar a cabo su labor de facturación

d). Los datos de tráfico podrán establecer, duración, hora o volumen de una comunicación, al protocolo utilizado, localización del equipo terminal del remitente o destinatario, a la red en que se origina o concluye la transmisión, al principio, fin o duración de una conexión y el formato en que la red conduce la comunicación. Algunos están vinculados con los datos de localización por lo que se deberá tener especial cuidado con ellos.

e). Todos los datos que se obtengan como se desprende del articulo anterior deberán tener un trato especial y confidencial por parte del prestador del servicio, ya que su mal uso pueden causar graves perjuicios a su titular.

f). Los prestadores de servicios no podrán tener almacenados estos datos por un periodo mayor a 6 meses contados desde la fecha de su recolección; y podrán ser entregados únicamente cuando medie orden judicial o de autoridad competente, salvo que sea petición directa y expresa del titular de los datos

De los datos de Localización:

Artí­culo 19.- Dato de localización.- cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponibles para el público

Los datos de localización se regirán por las siguientes reglas:

a). Los datos de localización serán reservados y en ningún momento podrán ser utilizados sin consentimiento de su titular; ni aun en el caso de empresas que usen estos datos con el fin de controlar las actividades laborales de sus trabajadores, salvo que exista de por medio conocimiento sobre tal hecho dentro del horario de trabajo y las actividades propias de la empresa.

b). Los datos de localización podrán ser pedidos por el titular, por orden judicial o cuando exista de por medio un convenio expreso firmado por el trabajador para que la empresa pueda disponer de ellos en cualquier momento.

c). Los datos de localización no podrán ser almacenados por un periodo mayor de 6 meses contados desde la fecha de su archivo.

d). El Estado podrá solicitar estos datos, cuando exista violación de secretos de Estado, infiltración en sus sistemas de seguridad, Seguridad Nacional, peligro de terrorismo, pornografí­a infantil o sospechas de tráfico de personas y que estos datos puedan ayudar a resolver la sospecha

INFRACCIONES Y SANCIONES

Artí­culo 20. Responsables

1. Los responsables de los archivos y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.

2. Cuando se trate de archivos de los que sea responsable la Administración Pública se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en esta Ley.

Artí­culo 21. Tipos de infracciones

a). Las infracciones se calificarán como leves, graves o muy graves.

1). Son infracciones leves:

i) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento, cuando legalmente proceda.

ii) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos personales.

iii) No solicitar la inscripción del archivo de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

iv) Proceder a la recogida de datos de carácter personal de los propios titulares sin proporcionarles la información que señala esta Ley.

v) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.

vi) Incumplir con las normas de la presente Ley, que no estuvieren consideradas como una infracción grave o muy grave.

2. Son infracciones graves:

i) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin Resolución Administrativa o Decreto Ejecutivo, publicada en el Registro Oficial.

ii) Proceder a la creación de archivos de titularidad privada o iniciar la recogida de datos de carácter personal para su propio uso con finalidades distintas de las que constituyen el objeto legí­timo de la empresa o entidad.

iii) Proceder a la recopilación de datos de carácter personal sin el consentimiento expreso de los titulares, en los casos en que éste sea exigible.

iv) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantí­as establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

v) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

vi) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos de los titulares de derechos que la presente Ley ampara.

vii) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a archivos que contengan datos relativos a antecedentes penales, del Servicio de Rentas Internas, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así­ como aquellos otros archivos que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

viii) Mantener los archivos, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por ví­a reglamentaria se determinen.

ix) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así­ como no proporcionar a la Agencia de Protección de Datos, cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

x) La obstrucción al ejercicio de la facultad de inspección de la Agencia de Protección de Datos.

xi) No inscribir el archivo de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.

xii) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del titular.

3. Son infracciones muy graves:

i) La recogida de datos en forma engañosa y fraudulenta.

ii) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

iii) Recabar y tratar los datos de carácter personal a los que se refiere esta Ley, cuando no medie el consentimiento expreso del titular; recopilar y tratar los datos referidos en la normativa cuando no lo disponga especí­ficamente una Ley o el titular no haya consentido expresamente, o violentar la prohibición contenida en esta Ley.

iv) No cesar en el uso ilegí­timo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares de los datos.

v) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recopilados para someterlos a dicho tratamiento, en paí­ses que no proporcionen un nivel de protección equiparable al mantenido en el paí­s, sin autorización del Director de la Agencia de Protección de Datos.

vi) Tratar los datos de carácter personal de forma ilegí­tima o con menosprecio de los principios y garantí­as que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales consagrados en la Constitución o esta Ley.

vii) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia esta Ley, así­ como los que hayan sido recabados para fines de la fuerza pública sin consentimiento de las personas afectadas.

viii) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

ix) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo.

b). Sanciones

1. Las infracciones leves serán sancionadas con multa de $1000 a $5000 Dólares de los Estados Unidos de América.

2. Las infracciones graves serán sancionadas con multa de $5.001 a $10.000 Dólares de los Estados Unidos de América.

3. Las infracciones muy graves serán sancionadas con multa de $10.001 a $15.000 Dólares de los Estados Unidos de América.

4. La cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales, de los titulares de los datos, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de la infracción y responsabilidad en la actuación infractora.

5. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.

6. En el caso de las infracciones muy graves, se aplicará la norma y reformas contenidas en la Ley de Comercio Electrónico.

c). Infracciones de las Administraciones Públicas

1. Cuando las infracciones a que se refiere esta Ley, fuesen cometidas en archivos de los que sea responsable la Administración Pública, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo, al órgano del que dependa jerárquicamente y a los titulares de los datos personales si los hubiera.

2. El Director de la Agencia de Protección de datos podrá proponer también la iniciación de expedientes administrativos en contra de los funcionarios que incumplan con las disposiciones de la presente Ley, pudiendo llegar a la aplicación de la destitución del funcionario público. El procedimiento y las sanciones a aplicar serán las establecidas en la normativa de la Institución Pública responsable de la protección de los datos o la que se dictare para el efecto.

3. Se deberá comunicar a la Agencia de Protección de datos personales, las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Artí­culo 22. Prescripción

1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.

2. El plazo de prescripción comenzará a contarse desde el dí­a en que la infracción se hubiera cometido.

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante seis meses o más por causas no imputables al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

5. El plazo de prescripción de las sanciones comenzará a contarse desde el dí­a siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.

6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

7. Será responsable civil, penal y pecuniariamente el funcionario de Cualquier institución pública, incluida la Agencia de Protección de Datos Personales, que no hubiera continuado con el proceso administrativo correspondiente o no hubiera efectuado el cobro de las mismas.

Artí­culo 23. Procedimiento sancionador

1. Por ví­a reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Tí­tulo.

2. Las resoluciones de la Agencia de Protección de Datos agotan la ví­a administrativa.

3. Los procedimientos sancionadores tramitados por la Agencia de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes, tendrán una duración máxima de seis meses.

Artí­culo 24. Potestad de inmovilización de ficheros

En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilí­cita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilí­cita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.

DISPOSICIONES FINALES

Las normas contenidas en la Ley de comercio electrónico, firma electrónica y mensajes de datos, serán aplicadas de acuerdo a lo dispuesto en esta Ley.


Spam in Argentina

Posted: mayo 26th, 2006 | Author: | Filed under: Argentina, Panama, Spam | No Comments »

*First Spam decision in Latin America*

On April 7, viagra here 2006 a federal judge from the City of Buenos Aires (Argentina) issued the “first decision in a spam case”:http://www.habeasdata.org/spam. Plaintiffs Gustavo Daniel Tanus and “Pablo Andres Palazzi”:http://www.habeasdata.org/pablopalazzi sued a spammer under the new data protection law of Argentina.

In their complaint the two plaintiffs argued that “section 27 of the 2000 Argentine Data Protection Law”:http://www.habeasdata.org/Argentine_Data_Protection_Act gives them a right to opt out, mind which the spammer did not comply with when they asked to be removed from the database (They demanded that their email be deleted from the database).

In November 2003, information pills the judge issued an injunction, declaring that during the process the defendant should refrain from sending plaintiffs additional e-mails. The injunction also forbade the transfer of the plaintiffs emails to third parties. His decision was based on “the data protection law”:http://www.habeasdata.org/Argentine_Data_Protection_Act, “section 1, 2, 5, 11 and 27″:http://www.habeasdata.org/Argentine_Data_Protection_Act.

This month the judge issued the final decision, ordering the defendants to stop dealing with, in any way, the personal data of the plaintiffs and delete their personal information. The decision confirmed that the sending of spam infringed the plaintiff* ´s privacy and data protection rights.

Spam is starting to be regulated throughout Latin America. Recently, bills were introduced in Congress in Brazil, “Argentina”:http://www.habeasdata.org/Argentine_Data_Protection_Act and Chile,and there is already a special law in Peru.
***


Public Voice Roundtable Consumers and Privacy in South America

Posted: mayo 23rd, 2006 | Author: | Filed under: América Latina, Habeas Data, Panama, Público en general | No Comments »

*Public Voice Roundtable Consumers and Privacy in South America*
April 16, bronchitis 2004

Buenos Aires, pestilence Argentina

Organized by
the Electronic Privacy Information Center
Consumers International (Oficina para América latina y el Caribe)
the Instituto de Derecho del Consumidor del Colegio Público de Abogados de la Capital Federal
the “Foro de Habeas Data”:http://www.habeasdata.org/

*Conference Information*

*Objectives*
Promote the dialogue between South American consumer protection organizations, experts in consumer and privacy law and government data protection agencies.

*Location*

Colegio Público de Abogados de la Capital Federal
Corrientes 1441 -“ Ciudad de Buenos Aires – Argentina

*Agenda*
April 14, 2004 version (Spanish) (English).

*Speakers*
April 14, 2004 version.

Reference documents
Workshop report
Antonino Serra, “Datos privados, preocupación pública,” (pdf) Consumidores y Desarrollo, pp. 21-22 (Consumers International, Enero-Abril 2004).
Speakers Presentations
Liliana Svartz’s presentation, Consumidores y Privacidad
Katitza Rodriguez’s presentation, Entrenamientos en seguridad y privacidad informática realizados por Privaterra en el Perú (pdf) (slide show)
Gabriel Martinez Medrano, Argentina: Empresas de Riesgo Crediticio, Habeas Data y Derechos del Consumidor (pdf)
Pablo Palazzi, Obtención de datos personales en relaciones de consumo (consecuencias para usuarios y consumidores desde el punto de vista del derecho a la privacidad y la protección de datos personales) (pdf)
Eduardo Mercovich, presentation
Reference Materials
EPIC & Privacy International, Privacy and Human Rights 2003:
Argentina
Brazil
Chile
Colombia
Mexico
Peru
United States of America
Privaterra’s work in Peru: Privacy and Secure Communication to Human Rights NGOs and Journalists in Peru: Project Overview (pdf)
Privaterra’s Guides on Information security and data privacy; Guí­as sobre seguridad y privacidad de la información
Prof. Antonio Aveleyra, The Communication of Personal Data Messages in Mexico (country report) (pdf document in Spanish) (pdf document in English)
Argentina’s Personal Data Protection Act of October 2000 (Act 25.326). (More links to legislative documents)

OECD & APEC Privacy Guidelines:
OECD Guidelines (1980) (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)
APEC Privacy Guidelines, Consultation draft (pdf) (version 10, March 31, 2004)
Graham Greenleaf, Criticisms of the APEC Privacy Principles (Version 9) and recommendations for improvements: (March 19, 2004)
Documents on Choicepoint:
EPIC’s ChoicePoint web page
Prof. Antonio Aveleyra, Noticias sobre el Caso ChoicePoint en Diversos Medios de Communicación de México
Miscellaneous resources:
Pablo A. Palazzi, Data Protection materials in Latin American Countries [and worldwide]; Protección de Datos Personales, Privacidad y Habeas Data en América Latina: Recopilación de Doctrina, Legislación y Jurisprudencia
Andres Guadamuz, Habeas Data: The Latin-American Response to Data Protection
Pablo A. Palazzi, Data Protection Blog
Prof. Antonio Aveleyra, El Derecho a la Intimidad de la Vida Privada
Órganos Nacionales de Protección de Datos Personales
Authorities in charge of data protection:
Argentina: Agencia Nacional de Protección de Datos Personales
National data protection legislation or bills:
Argentina, Personal Data Protection Act of 2000
Brazil, Habeas Data Act of 1997 (in Portuguese)
Chile, Law for the Protection of Private Life of 1999) (in Spanish)
Colombia, Law No. 23 of 1981 (protection of medical records); Decree No. 229 of 1995 (protects the confidentiality of correspondence) (in Spanish)
Costa Rica, Bill on habeas data (in Spanish)
Ecuador, Constitución Polí­tica de la República del Ecuador, Registro Oficial No. 1 del 1 de agosto de 1998, Art. 94 (in Spanish); Bill on electronic commerce of 2000 (including provisions on the right to privacy) (in Spanish)
Paraguay, Law for the Protection of Personal Data in the Private Sector (2000) (in Spanish)
Peru, Law No. 23.061 on Habeas Data of 1994 (in Spanish)
Uruguay, Bill on the right to information and habeas data (in Spanish)

Contact
Cédric Laurant – chlaurant@epic.org; tel.: +1(202) 483-1140 (x114)

Last Updated: May 17, 2004
Page URL: http://www.thepublicvoice.org/events/buenosaires04/default.html