Los primeros problemas que se perfilan en Costa Rica, es sobre la recopilación y transmisión de datos de las protectoras de crédito. Pues su uso se ha vuelto muy común, no solo ya para las entidades financieras, sino también por bufetes, servicios de recursos humanos, servicios de factoreo, etc.  No vamos a negar la importancia social y económica que tienen las protectoras de crédito para desplegar esta información (claro esta que no solo reportan su puntaje crediticio, sino también direcciones, números de teléfonos, antiguos trabajos y sus respectivos salarios, entre otros). Pues proteger el mercado es de interés para todos y más en una economía como la que estamos en este momento.

Sin embargo, que pasa cuando estas protectoras de crédito actúan a la libre?

Nuestra situación dista mucho de la de , , donde ya cuentan con una ley de protección de datos, es decir un control a priori, que protege a los titulares de la información.

En Costa Rica no existe norma alguna que ampare a los titulares de la información, no hay fiscalización, ni encargo de responsabilidades a los distintos actores en este proceso de recopilación, almacenamiento y despliegue de la información. Entonces actúan a la libre, recopilando cualquier información que consideren necesaria para sus bases de datos. Ejerciendo una actividad sin respetar el derecho a la autodeterminación informativa.

Claro esta que operan a la libre, porque no existe ningún tipo de presión por parte de la comunidad tanto de los operadores en derecho como de los mismos ciudadanos para hacer valer su derecho a la autodeterminación informativa. Los costarricenses no somos conscientes de los peligros de la transmisión de datos privados. Es más todos los días introducimos una serie de datos ya sea en redes sociales o instituciones publicas o privadas, sin preguntar o investigar que pasa con esa información, quien tiene un control sobre ella, es información que se comparten entre instituciones, etc.

La Sala Constitucional ha venido a resolver los problemas de protección de datos a los ciudadanos. Esfuerzo que ha resultado valioso, pues no existe normativa alguna que regule la Protección de Datos Personales. Así que la Sala se ha dado la tarea de crear jurisprudencia en este tema, señalando los principios de transparencia, corrección, exactitud, cancelación, etc.

A pesar de lo anterior, ese esfuerzo  solamente alcanza a aquellos agraviados que recurren a la Sala Constitucional. Es decir que cualquier problema que venga solucionar esta Sala será mediante un control a posteriori,  una vez que el daño ya ha sido causado; Ya sea como en la mayoría de los casos que la persona se le ha denegado un crédito bancario, la denegatoria de un trabajo, o no ser considerado para cualquier tipo de negocio (por solo mencionar varios de los problemas que se pueden dar con el incorrecto uso de la información personal de una persona). Estas situaciones se dan porque muchas veces los datos desplegados eran erróneos, otra situación muy común es que no debían desplegarse en la base de datos por operar el derecho al olvido, o bien la información no correspondía al titular de la información.

Costa Rica necesita avanzar en materia de protección de datos, empezando por las universidades, Colegio de Abogados etc., para crear conciencia en los ciudadanos sobre el derecho que les asiste de proteger sus datos, de corregirlos, de saber quien los esta utilizando etc. Los esfuerzos en seminarios, y algunos artículos en el ámbito jurídico han sido importantes, sin embargo insuficiente, para que en la corriente legislativa se conozca un proyecto verdaderamente estructurado respecto a este tema.

No sea que por falta de regulación se empiece a crear un “paraíso de datos personales”…

En la Asociación Ecuatoriana de Derecho Informático y Telecomunicaciones “AEDIT”:http://www.aedit.org.ec/, estamos preparando un anteproyecto de Ley de Protección de datos personales y lo estamos proponiendo al Congreso Nacional. Al igual como lo hicimos en su momento con la Ley de Comercio Electrónico para el Ecuador, ahora pedimos formalmente vuestro apoyo, para que nos den observaciones y recomendaciones al proyecto que tenemos preparado. El documento se basa en normas internacionales y en la poca normativa que tenemos en el Ecuador sobre el tema, por lo que será valioso contar con su experiencia práctica en la aplicación de la norma en sus respectivos paí­ses. Pese a que estamos concientes de la dificultad de sacar una Ley de este tipo, es un desafí­o que nos hemos propuesto y esperamos reducir los dos años y medio que nos tomó lograr la aprobación de la Ley de Comercio electrónico. Gracias por su colaboración.
José Luis Barzallo – Presidente “AEDIT”:http://www.aedit.org.ec/

*TíTULO PRIMERO*
*DEL OBJETO, íMBITO DE APLICACIÓN Y DEFINICIONES*
Artí­culo 1.- Objeto.- La presente Ley tiene por objeto garantizar y proteger los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, tanto públicos como privados, para garantizar el derecho al honor y a la intimidad de las personas, así­ como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en la Constitución Polí­tica de la República del Ecuador.

Artí­culo 2.- ímbito de Aplicación.- Las disposiciones de la presente Ley Orgánica, serán aplicables, tanto a las personas naturales como a las personas jurí­dicas, nacionales o extranjeras, públicas o privadas, en relación a los datos de carácter personal registrados en soporte fí­sico o digital que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos.

En ningún caso se podrá afectar el secreto de las fuentes de información periodí­sticas y el secreto profesional que determinen las normas correspondientes.

Artí­culo 3.- Definiciones.- A los fines de la presente Ley se entiende por:

Titular o interesado: Toda persona natural cuyos datos sean objeto del tratamiento al que se refiere la presente Ley.

Almacenamiento de datos: Archivo o custodia de datos en un registro o base de datos de cualquier tipo.

Archivo, registro, fichero, base o banco de datos personales: Es el conjunto de datos personales que pueden ser objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere el modo de su recopilación, formación, almacenamiento, organización o acceso.

Bloqueo de datos: suspensión temporal de toda operación de tratamiento de los datos personales almacenados.

Comunicación o Transmisión de datos: Es todo traspaso de datos personales realizados de cualquier forma a una persona distinta del titular, sean determinados o determinables

Consentimiento del interesado: Cualquier manifestación de voluntad, libre, inequí­voca,
expresa e informada, mediante la cual el interesado autorice el tratamiento de sus datos personales.

Dato caduco: Aquel que ha perdido vigencia por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su finalidad.

Dato estadí­stico: Para efectos de esta Ley, son aquellos que permiten el cálculo de probabilidades a partir de datos personales, los que no podrán en ningún momento ser asociados a un titular identificado o identificable.

Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico, automatizado o por cualquier medio conocido o que se conociere en el futuro.

Datos personales: Son datos o información de carácter personal o í­ntimo, que son materia de protección en virtud de ésta Ley.

Datos sensibles: Datos personales que afectan el derecho a la intimidad personal o familiar, en resguardo de las garantí­as Constitucionales, que revelen caracterí­sticas fí­sicas, morales o emocionales de una persona o cualquier otra información relacionada con circunstancias de su vida afectiva o familiar, hábitos personales y de consumo, ideologí­as, opiniones u orientación polí­tica, afiliación sindical, convicciones filosóficas o morales, origen racial y/o étnico, creencias o convicciones religiosas, estados de salud fí­sico o psicológico, vida sexual o información genética; así­ como toda violación a las garantí­as previstas por las leyes, tratados y convenios internacionales.

Encargado del tratamiento: la persona natural o jurí­dica, pública o privada que, sólo o en conjunto, trate datos personales por a nombre o bajo delegación del responsable del tratamiento. Todo funcionario público deberá contar con la respectiva delegación expresa.

Eliminación o cancelación de datos; la destrucción de datos almacenados en registros o base de datos, cualquiera fuere el procedimiento utilizado.

Fuentes accesibles al público: aquellos datos que constan en archivos cuya consulta puede ser realizada, por cualquier persona sin restricción ni reserva alguna. Por ejemplo guí­as telefónicas o listados de colegios profesionales.

Modificación de datos: todo cambio en el contenido de los datos almacenados en archivos o bases de datos.

Procedimiento de Disociación de datos: Todo tratamiento de datos personales por el cual dicha información no pueda asociarse a persona determinada o determinable.

Responsable de archivo, fichero, registro, base o banco de datos: Persona natural o jurí­dica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento de datos de carácter personal.

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos, manuales o mecánicos o de cualquier forma o modo , que permitan recolectar, conservar, ordenar, modificar, relacionar, elaborar, seleccionar, extraer, evaluar, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal o utilizarlos en cualquier forma o modo, incluyendo la cesión a terceros a través de comunicaciones, consultas interconexiones, transferencias, entre otras.

Usuario de datos: Toda persona natural o jurí­dica, pública o privada que realice el tratamiento de datos por cualquier forma o modo.

TITULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS

Sección Primera: Calidad de los datos

Artí­culo 4.- Calidad de los datos.- Los datos de carácter personal recogidos deberán ser ciertos, adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades del tratamiento, que deberán ser obtenidos de manera explí­cita y legí­tima; y, por lo tanto no podrán usarse para fines incompatibles con aquellos para los que los datos hubiesen sido recogidos. La calidad de los datos seguirá los siguientes principios:

a). No se considerará incompatible el tratamiento posterior de datos personales con fines históricos, estadí­sticos o cientí­ficos, los que no podrán en ningún momento ser asociados a un titular identificado o identificable, salvo autorización expresa por escrito del titular o su causahabiente.

b). Los datos de carácter personal deberán ser exactos y puestos al dí­a a fin de que respondan con veracidad a la situación actual del titular.

Los datos inexactos o incompletos, total o parcialmente, , deberán ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento del mismo, sin perjuicio de los derechos del titular establecidos en la presente ley.

c). Los datos de carácter personal que resultaren ser inexactos o incompletos, en todo o en parte, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, previa notificación al titular de los datos.

Los datos de carácter personal también deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados; y no serán conservados de manera que permita la identificación del interesado durante un perí­odo superior al necesario para las finalidades para las que hubieran sido recopiladas o registradas.

d). Se prohí­be la recopilación de datos por medios fraudulentos, desleales o ilí­citos. Tampoco se lo podrá hacer para fines incompatibles para los que fueron recogidos.

e). Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular y deberán ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recopilados.

Sección Segunda: De la información

Artí­culo 5.- Derecho de información en la recopilación de datos.- Los interesados a los que se soliciten datos personales, deberán ser previamente informados de modo expreso, preciso e inequí­voco:

a) De la existencia de un tratamiento de datos de carácter personal, de la finalidad de la recogida y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

e) Cuando se utilicen cuestionarios u otros impresos para la recopilación, deberán constar en los mismos, en forma claramente legible, las advertencias a que se refieren los literales anteriores.

Artí­culo 6.- Datos proporcionados por terceros.- Cuando los datos de carácter personal no hayan sido recopilados del interesado, esto deberá ser informado de forma expresa, precisa e inequí­voca, por el responsable del fichero o su representante, dentro de los tres meses siguientes de la fecha de registro de los datos, salvo que ya hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, así­ como de lo previsto en los literales a), d) y e) del artí­culo precedente.

No será de aplicación lo dispuesto en el inciso anterior cuando expresamente una Ley lo prevea; cuando el tratamiento tenga fines históricos, estadí­sticos o cientí­ficos; o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigí¼edad de los datos y a las posibles medidas compensatorias en beneficio del titular de los datos.

Asimismo, tampoco regirá lo dispuesto en el inciso primero cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o investigación comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará de la fuente de los datos y de la identidad del responsable del tratamiento así­ como de los derechos que le asisten.

Sección Tercera: Consentimiento

Artí­culo 7.- Consentimiento del titular.- El tratamiento de los datos de carácter personal requerirá el consentimiento libre, expreso e inequí­voco del titular de los datos personales, salvo que la Ley disponga otra cosa.

Aplicación del Consentimiento:

a). No será preciso el consentimiento cuando los datos de carácter personal se recopilen para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato comercial, laboral o administrativo y sean necesarios para su desarrollo o cumplimiento; se trate de listados cuyos datos se limiten a nombre, cédula de identidad, identificación tributaria o de seguridad social, ocupación, fecha de nacimiento y domicilio; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artí­culo 17 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legí­timo perseguido por el responsable del archivo o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

b). El consentimiento a que se refiere el artí­culo 11 podrá ser revocado en cualquier momento, cuando exista causa justificada para ello y no se le atribuirán efectos retroactivos.

Sección Cuarta: Datos Especialmente Protegidos

Artí­culo 8.- Datos especialmente protegidos.- Nadie podrá ser obligado a declarar sobre sus convicciones polí­ticas y religiosas, ni sobre datos referentes a salud y vida sexual de conformidad con el artí­culo 23 numeral 21 de la Constitución Polí­tica del Estado. El consentimiento y sus excepciones deberán quedar claramente establecidas en cualquier relación con los datos personales. Tanto el consentimiento como sus excepciones y limitaciones serán aplicados de la siguiente manera:

a). íšnicamente con el consentimiento expreso y por escrito del titular podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideologí­a, afiliación sindical, salud o vida sexual, religión y Polí­tica.

b). Se exceptúan del consentimiento expreso y escrito los archivos mantenidos por los partidos polí­ticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea polí­tica, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del titular.

Cuando en relación con estos datos se proceda a recabar o recopilar el consentimiento a los titulares, se advertirá previamente al interesado acerca de su derecho a no entregar la información.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recopilados, tratados y cedidos cuando existan razones de interés público y general , así­ lo disponga una Ley o el titular consienta expresamente.

c). Quedan prohibidos los archivos creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideologí­a, afiliación sindical, religión, creencias, origen racial o étnico, salud o vida sexual.

d). No obstante lo dispuesto en los artí­culos anteriores podrán ser objeto de tratamiento los datos de carácter personal a que se refiere la presente Ley, cuando dicho tratamiento resulte necesario para prevención o diagnóstico médicos, la prestación de servicios o asistencia sanitaria o tratamientos médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el inciso anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del titular o de otra persona, en el supuesto de que el titular esté fí­sica o jurí­dicamente incapacitado para dar su consentimiento.

e). Sin perjuicio de lo que se dispone en la presente Ley respecto de la cesión de datos personales; las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes, podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que acudan o hayan de ser tratados en los mismos, respetando los principios del secreto profesional, y de acuerdo con lo dispuesto en el Código de Salud y demás normativa relacionada.

f). Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en archivos de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras y siguiendo sus propios principios.

Sección Quinta: Seguridad de los datos

Artí­culo 9.- El responsable del archivo, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, tomando en consideración el estado de la tecnologí­a, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya sea que provengan de la acción humana o del medio fí­sico o natural.

No se registrarán datos de carácter personal en archivos que no reúnan las condiciones que se determinen por ví­a reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Sección Sexta: Deber de secreto y Cesión de Datos

Artí­culo 10.- El responsable del archivo y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos; obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del archivo o, en su caso, con el responsable del mismo.

El obligado podrá ser relevado de su obligación del deber de secreto profesional por disposición judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública que sean dispuestos por una autoridad competente.

Respecto de la Cesión de datos se aplicarán las siguientes reglas:

a). Los datos de carácter personal objeto del tratamiento sólo podrán ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legí­timas del cedente y del cesionario con el previo consentimiento del interesado, indicando previamente sobre la finalidad de la cesión y la identificación del cesionario o de los elementos que permitan realizarlo.

b). El consentimiento exigido en el inciso anterior no será necesario:

i) Cuando la cesión está autorizada en una Ley.

ii) Cuando se trate de datos recopilados de fuentes accesibles al público.

iii) Cuando el tratamiento responda a la libre y legí­tima aceptación de una relación jurí­dica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con archivos de terceros. En este caso la comunicación sólo será legí­tima en cuanto se limite a la finalidad que la justifique.

iv) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Público o los Jueces o Tribunales, en el ejercicio de las funciones que tiene atribuidas.

v) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

vi) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un archivo o para realizar los estudios epidemiológicos en los términos establecidos en la legislación.
c). El consentimiento al que hace mención el literal anterior puede ser revocado por el titular.

d). Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones, no serán cedidos o comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

En los supuestos previstos en los incisos precedentes no será necesario el consentimiento del titular a que se refiere la presente Ley.

e) Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al titular de los datos no le permita conocer la finalidad a la que destinarán los datos personales cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

f) Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

g) El tratamiento de datos por cuenta de terceros deberá estar regulado en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará a otras personas, ni siquiera para su conservación,.

En el contrato se estipularán las medidas de seguridad a que se refiere esta Ley, que el encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documento en el que conste algún dato de carácter personal objeto del tratamiento.

h) No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. En estos casos constarán expresamente los lí­mites de uso en un contrato.

i) En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, por lo que deberá respoder por las infracciones en que hubiera incurrido personalmente.

Sección Séptima: Derechos de los titulares de datos

Artí­culo 11.- Conocimiento del titular de los datos.- Toda persona tiene derecho a conocer la información que se tiene sobre su persona. También tiene derecho a no verse sometido a decisiones relacionadas con su persona en base al tratamiento de sus datos personales, así­ como a solicitar rectificaciones o indemnizaciones en caso de ser necesario. Los derechos constantes en este artí­culo serán ejercidos por el titular de los datos en cualquier momento.

Estos derechos del titular de los datos serán ejercidos de la siguiente forma:

a). Toda persona puede solicitar información a la Agencia de Protección de Datos relativa a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables.

El registro que se lleve al efecto será de consulta pública y gratuita.

b). Toda persona tiene derecho a ejercer el derecho de acceso a la información de acuerdo con la Constitución Polí­tica. Para esto:

i. El titular de los datos tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados destinados a proveer información.

ii. El responsable o usuario debe proporcionar la información solicitada dentro de los diez dí­as plazo. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley.

iii. El derecho de acceso a que se refiere este artí­culo será ejercido en forma gratuita, en intervalos no inferiores a tres meses, salvo que se acredite un interés legí­timo al efecto.

iv. El ejercicio del derecho al cual se refiere este artí­culo en el caso de datos de personas fallecidas le corresponderá a sus sucesores.

v. El titular de los datos podrá obtener la información gratuitamente, en los términos de esta Ley, sobre el origen de los datos y las comunicaciones realizadas o lo que se prevé hacer con los mismos.

vi. El acceso al que se refiere este artí­culo podrá hacerse a través de cualquier medio fí­sico o intangible, garantizando que la información conste claramente en el medio de información puesto a disposición del titular.

c). La forma de proporcionar la información seguirá las siguientes reglas:

i. La información debe ser suministrada en forma clara, de libre acceso y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

ii. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos de terceros, aun cuando se vinculen con el interesado.

iii. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

d). El Derecho de rectificación, actualización o supresión será ejercido.

i. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular y que estén incluidos en un banco de datos.

ii. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del titular en el plazo máximo de quince dí­as luego de recibido el reclamo del titular de los datos o advertido del error o falsedad.

iii. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover la acción de protección de los datos personales o de hábeas data prevista en la presente ley.

iv. En el supuesto de cesión o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación, supresión o transferencia al cesionario dentro del término de cinco dí­as de efectuado el tratamiento del dato.

v. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legí­timos de terceros, o cuando existiera una obligación legal de conservar los datos.

vi. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

vii. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

viii. Los datos originales que fueren rectificados, suprimidos o actualizados, deberán conservarse a disposición de autoridades competentes en caso de procesos legales seguidos en contra del titular de los datos. La supresión definitiva se hará una vez transcurridos 15 años desde su creación.

ix. En caso de actualización, rectificación o supresión, el responsable de los datos deberá comunicar tal hecho a quienes hubiere transmitido previamente información con los datos del titular.

e). Excepciones.-

i. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Seguridad Nacional, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros. En caso de oposición a esta actuación, deberá resolver la Agencia de Protección de datos en un término de 10 dí­as.

ii. La información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o de seguridad social, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así­ lo disponga debe ser motivada y notificada al titular en el término de 10 dí­as.

iii. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión, cuando el titular tenga que ejercer su derecho de defensa.

f). La rectificación, actualización o supresión de datos personales inexactos o incompletos que consten en registros públicos o privados se efectuará sin costo alguno para el interesado.

g). Los procedimientos para el ejercicio de los derechos de actualización, rectificación o supresión de los datos personales, serán determinados en los reglamentos pertinentes.

En caso de denegación del ejercicio de los derechos aquí­ establecidos, el titular de los datos personales podrá acudir ante la Agencia de Protección de datos, la que deberá confirmar la procedencia o improcedencia de la denegación en un plazo máximo de cuarenta y cinco dí­as.

Contra las resoluciones de la Agencia de Protección de datos caben los recursos establecidos en el Estatuto del Régimen Jurí­dico Administrativo de la Función Ejecutiva o en la jurisdicción contencioso administrativa.

h). El Derecho a indemnización será ejercido de la siguiente manera.-

i. Los titulares de datos personales que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

ii. Cuando se trate de archivo de titularidad pública, la responsabilidad se exigirá de acuerdo con lo dispuesto en la Constitución y demás normas sobre la indemnización de perjuicios por parte de la administración pública y el ejercicio del derecho de repetición del Estado.

iii. En el caso de los archivos de titularidad privada, la acción se ejercitará ante la justicia ordinaria.

i) La impugnación de valoraciones personales tendrá como fundamento:

i. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento el resultado del tratamiento de datos personales que suministren una definición del perfil o personalidad del interesado.

ii. Los actos que resulten contrarios a esta disposición serán nulos.

TíTULO III
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

Artí­culo 12.- Registro de archivos de datos.- El archivo, registro y manejo de bases de datos cumplirá con lo dispuesto en este artí­culo:

a). Inscripción.-

1. Todo archivo, registro, base o banco de datos público y privado destinado a proporcionar informes o que los proporcionare en cualquier momento, debe inscribirse en el Registro que al efecto habilite La Agencia de Protección de Datos Personales.

2. El registro de archivos de datos debe comprender como mí­nimo la siguiente información:

i) Nombre, apellido y domicilio del responsable;

ii) Caracterí­sticas y finalidad del archivo;

iii) Naturaleza de los datos personales contenidos en cada archivo;

iv) Forma de recolección y actualización de datos;

v) Destino de los datos y personas fí­sicas o jurí­dicas a las que pueden ser transmitidos en cualquier momento o tiempo;

vi) Modo de interrelacionar la información registrada;

vii) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar las especificaciones que deberán cumplir las personas con acceso al tratamiento de la información;

viii) Tiempo de conservación de los datos;

ix) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a seguir para la rectificación o actualización de los datos.

3) Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en la presente ley.

b). Archivos, registros o bancos de datos públicos.- Las Resoluciones sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a Instituciones públicas deben publicarse en el Registro Oficial.

Las Resoluciones deben indicar:

i) Caracterí­sticas y finalidad del archivo;

ii) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

iii) Procedimiento de obtención y actualización de los datos;

iv) Estructura básica del archivo y la descripción de la naturaleza de los datos personales que contendrán;

v) Las cesiones, transferencias o interconexiones previstas;

vi) Órganos responsables del archivo, precisando dependencia jerárquica en su caso;

vii) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión.

En las Resoluciones que se dicten para la supresión de los registros informatizados o manuales se establecerá el destino de los mismos o las medidas que se adopten para su destrucción.

c). Comunicación de datos entre Administraciones Públicas.- Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadí­sticos o cientí­ficos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

No obstante lo establecido en esta Ley, la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a archivos de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa.

En los supuestos previstos en los apartados 1 y 2 del presente artí­culo no será necesario el consentimiento del titular a que se refiere esta Ley.

d). Casos especiales.- Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, Policí­a Nacional, organismos encargados de la seguridad nacional o seccional; y aquéllos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, Policí­a Nacional, organismos encargados de la seguridad nacional o seccional, sin consentimiento de los titulares, queda limitado a aquellos supuestos y categorí­a de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Los archivos, en tales casos, deberán ser especí­ficos y establecidos al efecto, debiendo clasificarse por categorí­as, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de los archivos del Servicio de Rentas Internas podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias.

e). Archivos, registros o bancos de datos privados.- Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en esta Ley.

El registro de los datos será regulado por el Reglamento que se dictará para la aplicación de esta Ley.

Cualquier cambio en el archivo respecto de su responsable, finalidad o la ubicación, deberá ser comunicado inmediatamente a la Agencia de Protección de Datos Personales.

f). Prestación de servicios informatizados de datos personales. -

Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.

Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un perí­odo de hasta dos años.

g). Prestación de servicios de información crediticia. -

1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por Burós de crédito legalmente establecidas..

2. Pueden tratarse igualmente datos relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión.

4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los titulares durante los últimos seis años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hacer constar dicho hecho.

5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

h). Archivos, registros o bancos de datos con fines de publicidad.-

En la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos de profesionales a que se refiere esta Ley, deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artí­culo.

i). Archivos, registros o bancos de datos relativos a encuestas. -

Las normas de la presente ley no se aplicarán a las encuestas de opinión, mediciones y estadí­sticas, trabajos de prospección de mercados, investigaciones cientí­ficas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna, caso contrario no se podrán utilizar los datos recopilados.

TITULO IV
CONTROL

Sección Primera: Transferencia Internacional de datos

Artí­culo 13.- Queda prohibida la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Artí­culo 14.- La prohibición a la que hace mención el artí­culo anterior no regirá en los siguientes supuestos:

a) Colaboración judicial internacional;

b) Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento del titular, o una investigación epidemiológica;

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República del Ecuador sea parte; y,

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, tráfico de personas, corrupción, pornografí­a infantil y el narcotráfico.

TITULO V
DE LA AGENCIA DE PROTECCIÓN DE DATOS

Sección Primera: Organización

Artí­culo 15: De la Agencia de Protección de Datos.- La agencia de Protección de Datos es un ente de Derecho público, con personalidad jurí­dica propia y plena capacidad pública y privada, que actúa con plena independencia de la Administración Pública en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Reglamento propio, que será aprobado por el Presidente de la República.

La Agencia de Protección de Datos se regirá de la siguiente forma:

a). Del Director.- El Director de la Agencia de Protección de Datos dirigirá la Agencia y ostentará su representación. Será designado por el término de cuatro (4) años, por el Ejecutivo, debiendo ser seleccionado de manera obligatoria de entre una terna propuesta por: las organizaciones sociales calificadas como parte de la sociedad civil de defensa de los derechos individuales, especialmente de derecho a la intimidad o acceso a la información,; la Asociación Ecuatoriana de Derecho Informático y Telecomunicaciones y la Defensorí­a del Pueblo, con personas que tengan antecedentes en la materia.

En caso de no presentar a sus candidatos veinte dí­as después de convocadas por el Presidente de la República, será elegido de entre los candidatos propuestos y en caso de no contar con candidatos, será elegido directamente por el Presidente de la República.

El Director de la Agencia de Protección de Datos, ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oí­r al Consejo Consultivo en aquéllas propuestas que éste le realice en el ejercicio de sus funciones.

El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y podrá ser removido por el Ejecutivo por incumplimiento en el desempeño de sus funciones, debiendo convocar nuevamente a un concurso.

b). El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del perí­odo a que se refiere el inciso primero del artí­culo anterior a petición personal o por separación dispuesta por el Ejecutivo, previa instrucción de expediente administrativo, en el que necesariamente serán oí­dos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad o incompatibilidad sobrevenida para el ejercicio de su función, condena por delito doloso.

c). Funciones de la Agencia de Protección de Datos.- La Agencia de Protección de Datos a través de su Director deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley.
A tales efectos tendrá las siguientes funciones y atribuciones:

1) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación..

2) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

3) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

4) Dictar las normas de carácter general y Resoluciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

5) Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el registro permanente de los mismos;

6) Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar a través de providencias preventivas, la autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley;

En caso de que por el soporte en el cual esté contenida la información, las pruebas del incumplimiento a la Ley, puedan ser borradas o desaparecidas, el Director de la Agencia de Protección de Datos podrá disponer medidas cautelares de carácter administrativo a fin de verificar el incumplimiento de la Ley.

7) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten para su aplicación.;

9) Intervenir en las acciones penales que promoviera las Agencia de Protección de Datos por violaciones a la presente ley;

10) Controlar el cumplimiento de los requisitos y garantí­as que deben reunir los archivos o bancos de datos privados o públicos destinados a suministrar informes, para obtener la correspondiente inscripción en el Registro creado por esta ley.

11) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las resoluciones precisas para adecuar los tratamientos a los principios de la presente Ley.

12) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

13) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

14) Requerir a los responsables y los encargados del tratamiento de datos personales, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los archivos, cuando no se ajuste a sus disposiciones.

15) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

16) Recabar de los responsables de los archivos cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

17) Velar por la publicidad de la existencia de los archivos de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos archivos con la información adicional que el Director de la Agencia determine.

18) Redactar un informe anual y remitirlo al Congreso Nacional.

19) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así­ como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

20) Aquellas que le sean atribuidas por normas legales o reglamentarias.

d). Del Consejo Consultivo.- El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

El Defensor del Pueblo o su representante.

Un representante del Presidente de la República.

Un experto en la materia, propuesto por el Consejo Nacional de Universidades y Escuelas Politécnicas.

Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente por la Agencia de Protección de datos.

Un representante de la Asociación de Municipalidades del Ecuador (AME).

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

e). El Registro General de Protección de Datos.- El Registro General de Protección de Datos será conformado en la Agencia de Protección de Datos.

Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los archivos de que sean titulares las Entidades del sector Público.

b) Los archivos de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los datos relativos a los archivos que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

f). Potestad de inspección.- La Agencia de Protección de datos personales podrá inspeccionar los archivos a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos.

A tal efecto, podrá solicitar la exhibición o el enví­o de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así­ como inspeccionar los equipos fí­sicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

Los funcionarios de la Agencia de Protección de datos personales, estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

g). De la Delegación.- La Agencia de Protección de datos personales podrá crear delegaciones en cualquier ciudad del Ecuador. El funcionamiento de cada Delegación se financiera con los recursos económicos que se obtengan de acuerdo con esta Ley.

h). Recursos económicos.- La Agencia de Protección de datos se financiará:

1. Con el valor a cobrarse por concepto de Inscripción en el Registro y por el pago anual de un valor determinado correspondiente a USD. 50.

2. Con el valor recaudado por concepto de multas.

3. Con los derechos que se generen por la emisión de certificados solicitados a petición de parte. Cada certificación tendrá un costo de USD. 2.

4. Con los recursos que se obtengan de la venta de publicaciones relacionadas a la protección de datos.

5. De la suscripción a un boletí­n informativo que puede ser digital e impreso el mismo que tendrá un costo determinado ya sea anual o mensual.

i). De las Resoluciones.- Las resoluciones de la Agencia de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados.

La publicación se realizará preferentemente a través de medios informáticos o telemáticos.

Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones.

Sección segunda: De la creación de archivos

Artí­culo 16: Creación.- Podrán crearse archivos de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legí­timos de la persona, empresa o entidad titular y se respeten las garantí­as que esta Ley establece para la protección de las personas.

La Creación de archivos de titularidad privada cumplirán con:

a). Notificación e Inscripción Registral.- Toda persona natural o jurí­dica o entidad de cualquier tipo que proceda a la creación de archivos privados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Por ví­a reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del archivo, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a paí­ses terceros.

El Registro General de Protección de Datos inscribirá el archivo si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

b). De las modificaciones de los archivos.- Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del archivo automatizado, sobre su responsable y en la dirección de su ubicación.

c). Inscripción automática.- Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el archivo de datos a todos los efectos, sin perjuicio de que posteriormente la Agencia de Protección de Datos personales observare el archivo.

d). Comunicación de la cesión de datos.- El responsable del archivo, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los titulares y a la Agencia de Protección de Datos, indicando, asimismo, la finalidad del archivo, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

La obligación establecida en el apartado anterior no existirá cuando la cesión venga impuesta por Ley.

e). Datos incluidos en las fuentes de acceso público.- Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales de fuentes de acceso público, deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales o gremios, indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial.

La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez dí­as respecto de la información que se provea mediante consulta o comunicación telemática. Dicha información será eliminada en la siguiente edición del listado que contenga la información, cualquiera que sea el soporte en que se edite.

En caso de que se obtenga telemáticamente una copia de la lista de información en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención, si ésta información sólo puede ser encontrada en la lista publicada.

Los datos que figuren en las guí­as telefónicas o de servicios de telecomunicaciones disponibles al público se regirán por su normativa especí­fica.

Sección Tercera: Inscripción de archivos

Artí­culo 17: Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control.

La inscripción cumplirá con lo siguiente:

a). Requisitos.- El registro de archivos de datos debe comprender como mí­nimo la siguiente información:

1) Nombre, apellidos y domicilio del responsable;

2) Caracterí­sticas y finalidad del archivo;

3) Naturaleza de los datos personales contenidos en cada archivo;

4) Forma de recolección y actualización de datos;

5) Destino de los datos y personas fí­sicas o de existencia ideal a las que pueden ser transmitidos;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categorí­a de personas con acceso al tratamiento de la información;

Tiempo de conservación de los datos;

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

b). archivos públicos.- Las normas sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a organismos públicos sólo podrán realizarse por medio de Resolución de la misma Entidad o Decreto Ejecutivo publicado en el Registro Oficial y deberán indicar:

1) Caracterí­sticas y finalidad del archivo;

2) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

3) Procedimiento de obtención y actualización de los datos;

4) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;

5) Las cesiones, transferencias o interconexiones previstas;

6) Órganos y personas responsables del archivo, precisando dependencia jerárquica en su caso;

7) Las dependencias ante las que se puede ejercer los derechos de acceso, rectificación o supresión.

c). Inscripción de ficheros privados.- Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en esta Ley.

De los datos de Tráfico:

Artí­culo 18.- Dato de tráfico: se denomina dato de trafico cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de una facturación como tal.

Los datos de tráfico responderán a lo siguiente:

a). Los datos de tráfico podrán ser utilizados únicamente por los prestadores del servicio, con el fin de llevar a cabo la facturación del titular del dato, pero en ningún momento estará facultado para rastrear esos datos y obtener información intima o privada del titular como resultado de estos.

b). Los datos de tráfico estarán de la mano con el derecho de la intimidad y la privacidad. Y en concordancia con la Constitución artí­culo 23 numeral 13.

c). Los datos de tráfico no podrán ser manipulados de ninguna manera que pueda obtener o disponer de otros datos que no sean los necesarios para llevar a cabo su labor de facturación

d). Los datos de tráfico podrán establecer, duración, hora o volumen de una comunicación, al protocolo utilizado, localización del equipo terminal del remitente o destinatario, a la red en que se origina o concluye la transmisión, al principio, fin o duración de una conexión y el formato en que la red conduce la comunicación. Algunos están vinculados con los datos de localización por lo que se deberá tener especial cuidado con ellos.

e). Todos los datos que se obtengan como se desprende del articulo anterior deberán tener un trato especial y confidencial por parte del prestador del servicio, ya que su mal uso pueden causar graves perjuicios a su titular.

f). Los prestadores de servicios no podrán tener almacenados estos datos por un periodo mayor a 6 meses contados desde la fecha de su recolección; y podrán ser entregados únicamente cuando medie orden judicial o de autoridad competente, salvo que sea petición directa y expresa del titular de los datos

De los datos de Localización:

Artí­culo 19.- Dato de localización.- cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponibles para el público

Los datos de localización se regirán por las siguientes reglas:

a). Los datos de localización serán reservados y en ningún momento podrán ser utilizados sin consentimiento de su titular; ni aun en el caso de empresas que usen estos datos con el fin de controlar las actividades laborales de sus trabajadores, salvo que exista de por medio conocimiento sobre tal hecho dentro del horario de trabajo y las actividades propias de la empresa.

b). Los datos de localización podrán ser pedidos por el titular, por orden judicial o cuando exista de por medio un convenio expreso firmado por el trabajador para que la empresa pueda disponer de ellos en cualquier momento.

c). Los datos de localización no podrán ser almacenados por un periodo mayor de 6 meses contados desde la fecha de su archivo.

d). El Estado podrá solicitar estos datos, cuando exista violación de secretos de Estado, infiltración en sus sistemas de seguridad, Seguridad Nacional, peligro de terrorismo, pornografí­a infantil o sospechas de tráfico de personas y que estos datos puedan ayudar a resolver la sospecha

INFRACCIONES Y SANCIONES

Artí­culo 20. Responsables

1. Los responsables de los archivos y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.

2. Cuando se trate de archivos de los que sea responsable la Administración Pública se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en esta Ley.

Artí­culo 21. Tipos de infracciones

a). Las infracciones se calificarán como leves, graves o muy graves.

1). Son infracciones leves:

i) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento, cuando legalmente proceda.

ii) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos personales.

iii) No solicitar la inscripción del archivo de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

iv) Proceder a la recogida de datos de carácter personal de los propios titulares sin proporcionarles la información que señala esta Ley.

v) Incumplir el deber de secreto establecido en esta Ley, salvo que constituya infracción grave.

vi) Incumplir con las normas de la presente Ley, que no estuvieren consideradas como una infracción grave o muy grave.

2. Son infracciones graves:

i) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin Resolución Administrativa o Decreto Ejecutivo, publicada en el Registro Oficial.

ii) Proceder a la creación de archivos de titularidad privada o iniciar la recogida de datos de carácter personal para su propio uso con finalidades distintas de las que constituyen el objeto legí­timo de la empresa o entidad.

iii) Proceder a la recopilación de datos de carácter personal sin el consentimiento expreso de los titulares, en los casos en que éste sea exigible.

iv) Tratar los datos de carácter personal o usarlos posteriormente con violación de los principios y garantí­as establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

v) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

vi) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos de los titulares de derechos que la presente Ley ampara.

vii) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a archivos que contengan datos relativos a antecedentes penales, del Servicio de Rentas Internas, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así­ como aquellos otros archivos que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

viii) Mantener los archivos, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por ví­a reglamentaria se determinen.

ix) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así­ como no proporcionar a la Agencia de Protección de Datos, cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

x) La obstrucción al ejercicio de la facultad de inspección de la Agencia de Protección de Datos.

xi) No inscribir el archivo de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.

xii) Incumplir el deber de información que se establece en esta Ley, cuando los datos hayan sido recabados de persona distinta del titular.

3. Son infracciones muy graves:

i) La recogida de datos en forma engañosa y fraudulenta.

ii) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

iii) Recabar y tratar los datos de carácter personal a los que se refiere esta Ley, cuando no medie el consentimiento expreso del titular; recopilar y tratar los datos referidos en la normativa cuando no lo disponga especí­ficamente una Ley o el titular no haya consentido expresamente, o violentar la prohibición contenida en esta Ley.

iv) No cesar en el uso ilegí­timo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares de los datos.

v) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recopilados para someterlos a dicho tratamiento, en paí­ses que no proporcionen un nivel de protección equiparable al mantenido en el paí­s, sin autorización del Director de la Agencia de Protección de Datos.

vi) Tratar los datos de carácter personal de forma ilegí­tima o con menosprecio de los principios y garantí­as que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales consagrados en la Constitución o esta Ley.

vii) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia esta Ley, así­ como los que hayan sido recabados para fines de la fuerza pública sin consentimiento de las personas afectadas.

viii) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

ix) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un archivo.

b). Sanciones

1. Las infracciones leves serán sancionadas con multa de $1000 a $5000 Dólares de los Estados Unidos de América.

2. Las infracciones graves serán sancionadas con multa de $5.001 a $10.000 Dólares de los Estados Unidos de América.

3. Las infracciones muy graves serán sancionadas con multa de $10.001 a $15.000 Dólares de los Estados Unidos de América.

4. La cuantí­a de las sanciones se graduará atendiendo a la naturaleza de los derechos personales, de los titulares de los datos, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de la infracción y responsabilidad en la actuación infractora.

5. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.

6. En el caso de las infracciones muy graves, se aplicará la norma y reformas contenidas en la Ley de Comercio Electrónico.

c). Infracciones de las Administraciones Públicas

1. Cuando las infracciones a que se refiere esta Ley, fuesen cometidas en archivos de los que sea responsable la Administración Pública, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del archivo, al órgano del que dependa jerárquicamente y a los titulares de los datos personales si los hubiera.

2. El Director de la Agencia de Protección de datos podrá proponer también la iniciación de expedientes administrativos en contra de los funcionarios que incumplan con las disposiciones de la presente Ley, pudiendo llegar a la aplicación de la destitución del funcionario público. El procedimiento y las sanciones a aplicar serán las establecidas en la normativa de la Institución Pública responsable de la protección de los datos o la que se dictare para el efecto.

3. Se deberá comunicar a la Agencia de Protección de datos personales, las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Artí­culo 22. Prescripción

1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.

2. El plazo de prescripción comenzará a contarse desde el dí­a en que la infracción se hubiera cometido.

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante seis meses o más por causas no imputables al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

5. El plazo de prescripción de las sanciones comenzará a contarse desde el dí­a siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.

6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

7. Será responsable civil, penal y pecuniariamente el funcionario de Cualquier institución pública, incluida la Agencia de Protección de Datos Personales, que no hubiera continuado con el proceso administrativo correspondiente o no hubiera efectuado el cobro de las mismas.

Artí­culo 23. Procedimiento sancionador

1. Por ví­a reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Tí­tulo.

2. Las resoluciones de la Agencia de Protección de Datos agotan la ví­a administrativa.

3. Los procedimientos sancionadores tramitados por la Agencia de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes, tendrán una duración máxima de seis meses.

Artí­culo 24. Potestad de inmovilización de ficheros

En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilí­cita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de archivos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilí­cita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales archivos a los solos efectos de restaurar los derechos de las personas afectadas.

DISPOSICIONES FINALES

Las normas contenidas en la Ley de comercio electrónico, firma electrónica y mensajes de datos, serán aplicadas de acuerdo a lo dispuesto en esta Ley.