LEY ORGNÁNICA DE PROTECCIÓN DE DATOS PERSONALES
1. EL PLENO
El artículo 16 numeral 2 determina que:
==============================
"Todas las personas tienen derecho al acceso universal a las tecnologías de la información"
Artículo 66 numeral 19 de la Constitución de la República garantiza:
========================================
"El derecho a la protección de datos personales. La recolección, archivo, procesamiento, distribución o difusión de estos datos requerirá autorización del titular"
El principio de Legalidad de la Carta Iberoamericana de Gobierno Electrónico del 2007 establece:
====================================
"Uso de comunicaciones electrónicas promovidas por la Administración Pública deberá tener cumplimiento en las normas de protección de datos personales, con el objetivo de precautelar el derecho de los ciudadanos a relacionarse electrónicamente con el Estado".
2. NO APLICABLE EN
Personas Fallecidas
Personas Naturales que utilicen estos datos en actividades familiares o domésticas
Datos anonimizados, en tanto no sea posible identificar a su titular.
Actividades periodísticas y otros contenidos editoriales
Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos ( desastres naturales, seguridad o defensa del Estado)
Bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales.
Datos que identifican o hacen identificables a personas jurídicas.
4. TRATAMIENTO LEGÍTIMO DE DATOS PERSONALES
- Por consentimiento del titular.
- Que sea realizado por el responsable del tratamiento.
- Realizado por el responsable del tratamiento por orden judicial.
- Que el tratamiento de datos personales se sustente en el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos.
- Para la ejecución de medidas precontractuales a petición del titular.
- Para proteger intereses vitales
- Datos personales de acceso público.
3. DERECHOS
Derecho a la información
=============================
El titular de datos personales tiene derecho a ser informado conforme los principio de lealtad y transparente por cualquier modo.
=============================
En caso de que la información del titular fue obtenida de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes 30 días.
Derecho de acceso
=============================
El titular puede conocer y obtener, gratuitamente del responsable de tratamiento acceso a todos sus datos personales y a la información sin necesidad de presentar justificación.
=============================
Este deberá ser atendido dentro del plazo de 15 días.
Derecho de rectificación y actualización
=============================
El titular puede obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.
=============================
Este deberá ser atendido dentro de 15 días.
Derecho de eliminación
=============================
El titular puede pedir al responsable del tratamiento se suprima sus datos personales, dependiendo de la situación .
=============================
Esta obligación la deberá cumplir en el plazo de 15 días.
Derecho de oposición cuando
===========================
* No se afectan derechos o libertades fundamentales de terceros.
* Tenga por objeto la mercadotecnia.
* No sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo.
===========================
Deberá ser atendida dentro de 15 días.
Derecho a la portabilidad
=============================
El titular debe recibir su información en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables.
Excepciones más importantes a estos derechos
=============================
* Si el solicitante no es el titular.
* Si son necesarios para el cumplimiento de la ley o una orden judicial
* Cuando se pueda causar perjuicios a derechos o afectación a intereses legítimos de terceros.
* Cuando se pueda obstaculizar la acción judicial, debidamente notificada.
Derecho a la suspensión del tratamiento cuando:
=============================
* El titular impugna la exactitud de sus datos personales.
* Solicite la limitación del uso de sus datos personales.
* El responsable ya no necesite los datos personales para su tratamiento.
* Cuando el interesado se haya opuesto al tratamiento.
Derecho a la educación digital
=============================
Este derecho tendrá un carácter inclusivo sobre todo en lo que respecta a personas con necesidades educativas especiales.
5. CAPÍTULO IV
CATEGORÍA ESPECIALES DE DATOS
Se consideran datos sensibles
- Datos sensibles
- Datos de niñas, niños y adolescentes
- Datos de salud
- Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad
Derechos de los Titulares
Crediticios
- Acceder de forma personal a la información de la cuál es titular.
- El reporte de crédito se presente de forma clara y precisa, con el fin de informar su historial crediticio.
- La fuente de información se actualice, rectifique o elimine según sea el caso.
Datos relativos a la salud
Los sistemas de salud pueden recolectar datos relativos a la salud de sus pacientes que estén o hubiesen estado bajo tratamiento de aquellos.
No se requiere consentimiento del titular cuando sea necesario por razones de interés público dentro del ámbito de la salud
Tratamiento de datos relativos a la salud
Debe cumplir con los siguientes parámetros mínimos:
- Los datos obtenidos en establecimientos de salud deben cumplir los principios de confidencialidad y secreto profesional.
- Los datos que se traten siempre que se puedan deberán ser anonimizados o seudonimizados.
Tratamiento de datos de salud por entes privados y públicos con fines de investigación
Los datos obtenidos por el Sistema Nacional de Salud podrán ser tratados por personas naturales o jurídicas con fines de investigación científica, mientras sean anonimizados.
6. CAPÍTULO VI
SEGURIDAD DE DATOS
PERSONALES
- Artículo 38. Medidas de seguridad en el ámbito público: Se debe aplicar cualquier método para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados y otro formas que pongan en peligro la información del titular.
* Artículo 40. Análisis de riesgo, amenazas y vulnerabilidades. - Artículo 43. Notificación de vulneración de seguridad: El responsable del tratamiento deberá notificar a los entes correspondientes en la protección y regulación de los datos personales tan pronto sea posible y en un máximo de 5 días después de la vulneración, pasado ese tiempo deberá ir acompañada de los motivos de la dilación.
* Artículo 44. Acceso a datos personales para atención a emergencias e incidentes informáticos: Las autoridades púbicas competentes y equipos o grupos relacionados a la seguridad informática podrán acceder y tratar los datos personales exclusivamente par la detección, análisis y protección ante las vulneraciones de la información.
7. CAPÍTULO VII
DEL RESPONSABLE, ENCARGO Y DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
Artículo 47. Obligaciones del responsable y encargado del tratamiento de datos personales
- Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley.
- Utilizar metodologías de análisis y gestión de riesgos.
- Tomar medidas tecnológicas físicas, administrativas, organizativas y jurídicas necesarias para prevenir o reducir las vulneraciones identificadas.
- Permitir y contribuir a la realización de auditorías o inspecciones por parte de un auditor acreditado.
Artículo 51. Registro Nacional de protección de datos personales
El responsable del tratamiento de datos deberá reportar y mantener actualizada la información sobre lo siguiente:
- Información del domicilio y contacto del responsable y encargado de tratamiento de datos.
- Naturaleza de los datos personales tratados.
- Medios utilizados para implementar los principios, derechos y obligaciones contenidos en la presente ley.
- Requisitos y herramientas utilizadas para garantizar la seguridad y protección de los dato personales.
- Tiempo de conservación de los datos.
8. CAPÍTULO IX
TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES
Artículo 56. Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección: Se podrá transferir información a aquellos países, organizaciones y personas jurídicas que brinden niveles adecuados de protección.
Artículo 59. Autorización para transferencias internacionales: Se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual deberá garantizar documentadamente el cumplimiento de la normativa vigente
Artículo 61. Control continuo: La autoridad de Protección de Datos Personales, realizará reportes continuos sobre la realidad internacional en materia de protección de datos personales.
En caso de detectarse que un país ya no cumple con un nive adecuado de protección, procederá a emitir la correspondiente resolución de no adecuación.
La Autoridad publicará de forma permanente la lista de países y organizaciones que garanticen un adecuado nivel de protección de datos personales.
9. CAPÍTULO XI
MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO
Medidas Correcticas: En caso de incumplimiento de las disposiciones previstas en la presente Ley, se podrá proceder de la siguiente forma:
- Cese del tratamiento
- Eliminación de los datos
- Imposición de medidas técnicas, jurídicas, organizativas o administrativas para garantizar el adecuado tratamiento.
INFRACCIONES DEL
RESPONSABLE DE
PROTECCIÓN DE DATOS
Artículo 67: Infracciones leves
- No tramitar las quejas realizadas por el titular.
- No implementar protección de datos desde el diseño y por defecto.
- No mantener disponibles políticas de protección de datos.
- Elegir encargados de tratamiento de datos que no garanticen las seguridades del caso.
- Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.
Artículo 68 Infracciones graves
- No implementar medidas administrativas, técnicas y físicas que garanticen el tratamiento de dato personales
- Utilizar información para fines no declarados
- Ceder o comunicar datos personales sin cumplir con los procedimientos y requisitos establecidos en la presente ley.
- No realizar evaluaciones de impacto al tratamiento de datos.
- No implementar técnicas o medidas necesarias para prevenir o mitigar la vulneración de las seguridad de los datos.
- No informar a la Autoridad competente y titular de los datos sobre las vulneraciones de su información.
- No suscribir contratos con clausulas de confidencialidad y tratamiento adecuado de datos personales con el encargado.
- No mantener actualizado el Registro Nacional de protección de datos conforme dicta la ley.
- No contribuir a la realización de auditorías o inspecciones por parte del auditor.
SANCIONES
Artículo 71. Por Infracciones Leves
- Servidores o funcionarios del sector público que hayan incurrido en alguna falta leve serán sancionados con una multa de entre 1 a 10 salarios básicos unificados.
- Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero de una entidad privada, se aplicará una multa entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico anterior de la imposición de la multa.
Artículo 72. Por Infracciones Graves
- Servidores o funcionarios del sector público que hayan incurrido en alguna falta grave serán sancionados con una multa de entre 10 a 20 salarios básicos unificados.
- Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero de una entidad privada, se aplicará una multa entre el 0.7% y el 1% calculada sobre su volumen de negocio correspondiente al ejercicio económico anterior de la imposición de la multa.
Artículo 73. Volumen de negocio
Se entiende a a cuenta resultante por la venta de productos y de la prestación de servicios realizados por operadores económicos, previa deducción del impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.